# Referencia de la verificación de la validación de la política de IAM
<a name="access-analyzer-reference-policy-checks"></a>

Puede validar sus políticas utilizando validación de políticas de AWS Identity and Access Management Access Analyzer. Puede crear o editar una política con la AWS CLI, API de AWS o editor de políticas JSON en la consola de IAM. El Analizador de acceso de IAM valida su política contra la [Gramática de la política](reference_policies_grammar.md) de IAM y [AWSprácticas recomendadas](best-practices.md). Puede ver los resultados de las comprobaciones de validación de políticas que incluyen advertencias de seguridad, errores, advertencias generales y sugerencias para la política. Estos resultados proporcionan recomendaciones procesables que le ayudan a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad. La lista de comprobaciones de políticas básicas proporcionada por el Analizador de acceso de IAM se comparte a continuación. No se aplica ningún cargo adicional asociado a ejecutar las comprobaciones de validación de políticas. Para obtener más información sobre cómo validar políticas mediante validación de políticas, consulte [Validación de políticas mediante el Analizador de acceso de IAM](access-analyzer-policy-validation.md).

## Error: no se permite la cuenta ARN
<a name="access-analyzer-reference-policy-checks-error-arn-account-not-allowed"></a>

**Código de problema: **ARN\$1ACCOUNT\$1NOT\$1ALLOWED

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
```

**Resolver el error**

Elimine el ID de cuenta del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar un ID de cuenta.

Por ejemplo, Amazon S3 no admite un ID de cuenta como espacio de nombres en ARN de bucket. El nombre de un bucket de Amazon S3 es único en todo el mundo, y todas las cuentas de AWS comparten el espacio de nombres. Para consultar todos los tipos de recursos disponibles en Amazon S3, consulte [Tipos de recurso definidos por Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*.

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [Identificadores de cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error — Región ARN no permitida
<a name="access-analyzer-reference-policy-checks-error-arn-region-not-allowed"></a>

**Código de problema: **ARN\$1REGION\$1NOT\$1ALLOWED

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
```

**Resolver el error**

Elimine la región del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar una región.

Por ejemplo, IAM es un servicio global. La porción de Región de un ARN de recurso de IAM siempre se mantiene en blanco. Los recursos de IAM son globales, como una cuenta AWS lo es hoy. Por ejemplo, después de iniciar sesión como usuario de IAM, puede acceder a servicios AWS en cualquier región geográfica.
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: no coincide con el tipo de datos
<a name="access-analyzer-reference-policy-checks-error-data-type-mismatch"></a>

**Código de problema: **DATA\$1TYPE\$1MISMATCH

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
```

**Resolver el error**

Actualice el texto para utilizar el tipo de datos admitido.

Por ejemplo, la clave de condición global `Version` requiere un tipo de datos `String`. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Error — Claves duplicadas con diferentes mayúsculas
<a name="access-analyzer-reference-policy-checks-error-duplicate-keys-with-different-case"></a>

**Código de problema: **DUPLICATE\$1KEYS\$1WITH\$1DIFFERENT\$1CASE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
```

**Resolver el error**

Revise las claves de condición similares dentro del mismo bloque de condición y utilice las mismas mayúsculas para todas las instancias.

Un *bloque de condición* es el texto dentro del elemento `Condition` de una declaración de política. Los *nombres* de las claves de condición no distinguen entre mayúsculas y minúsculas. El uso de mayúsculas y minúsculas en los *valores* de la clave de condición depende del operador de condición que utilice. Para obtener más información sobre el uso de mayúsculas y minúsculas en claves de condición, consulte [Elementos de política JSON de IAM: Condition](reference_policies_elements_condition.md).

**Términos relacionados**
+ [Condiciones](reference_policies_elements_condition.md)
+ [El bloque de condición](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [AWS Claves de condición de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: acción no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-action"></a>

**Código de problema: **INVALID\$1ACTION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
```

**Resolver el error**

La acción especificada no es válida. Esto puede suceder si escribe mal el prefijo de servicio o el nombre de la acción. Para algunos problemas comunes, la verificación de políticas devuelve una acción sugerida.

**Términos relacionados**
+ [Acciones de las políticas](reference_policies_elements_action.md)
+ [AWS Acciones de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

### AWS políticas administradas con este error
<a name="accan-ref-policy-check-message-fix-error-invalid-action-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los siguientes ejemplos de políticas administradas de AWS incluyen acciones no válidas en sus afirmaciones de política. Las acciones no válidas no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada,AWS recomienda que elimine las acciones no válidas de su política.
+ [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)
+ [CloudWatchSyntheticsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchSyntheticsFullAccess)

## Error: cuenta ARN no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-account"></a>

**Código de problema: **INVALID\$1ARN\$1ACCOUNT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
```

**Resolver el error**

Actualice el ID de cuenta en el ARN del recurso. Los ID de cuenta son números enteros de 12 dígitos. Para obtener información sobre cómo ver el ID de su cuenta de, consulte [Búsqueda del ID de su cuenta de AWS](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [Identificadores de cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: prefijo ARN no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-prefix"></a>

**Código de problema: **INVALID\$1ARN\$1PREFIX

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add the required prefix (arn) to the resource ARN."
```

**Resolver el error**

Los ARN de recursos de AWS deben incluir el prefijo `arn:`.

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error — Región ARN no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-region"></a>

**Código de problema: **INVALID\$1ARN\$1REGION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
```

**Resolver el error**

El tipo de recurso no se admite en la región especificada. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la [Tabla de regiones](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [Nombres y códigos de regiones](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Error: recurso ARN no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-resource"></a>

**Código de problema: **INVALID\$1ARN\$1RESOURCE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
```

**Resolver el error**

El ARN de recursos debe coincidir con las especificaciones de los tipos de recursos conocidos. Para ver el formato ARN esperado para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: caso de servicio ARN no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-service-case"></a>

**Código de problema: **INVALID\$1ARN\$1SERVICE\$1CASE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."
```

**Resolver el error**

El servicio en el ARN del recurso debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio y busque su prefijo en la primera oración.

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: tipo de datos de condición no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-data-type"></a>

**Código de problema: **INVALID\$1CONDITION\$1DATA\$1TYPE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
```

**Resolver el error**

El valor del par clave-valor de condición debe coincidir con el tipo de datos de la clave de condición y el operador de condición. Para ver el tipo de dato de clave de condición para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio para ver las claves de condición de dicho servicio.

Por ejemplo, la clave de condición global [`CurrentTime`](reference_policies_condition-keys.md#condition-keys-currenttime) admite la el operador de condición `Date`. Si proporciona una cadena o un entero para el valor en el bloque de condición, el tipo de datos no coincidirá.

**Términos relacionados**
+ [Condiciones](reference_policies_elements_condition.md)
+ [El bloque de condición](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [AWS Claves de condición de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: formato de clave de condición no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-key-format"></a>

**Código de problema: **INVALID\$1CONDITION\$1KEY\$1FORMAT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
```

**Resolver el error**

La clave del par clave-valor de condición debe coincidir con las especificaciones del servicio. Para ver las claves de condición para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio para ver las claves de condición de dicho servicio.

**Términos relacionados**
+ [Condiciones](reference_policies_elements_condition.md)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [AWS Claves de condición de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error — Condición inválida de varios booleanos
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-multiple-boolean"></a>

**Código de problema: **INVALID\$1CONDITION\$1MULTIPLE\$1BOOLEAN

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
```

**Resolver el error**

La clave del par clave-valor de condición espera un único valor booleano. Cuando proporciona varios valores booleanos, es posible que la coincidencia de condición no devuelva los resultados esperados.

Para ver las claves de condición para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio para ver las claves de condición de dicho servicio.
+ [Condiciones](reference_policies_elements_condition.md)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [AWS Claves de condición de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: operador de condición no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-operator"></a>

**Código de problema: **INVALID\$1CONDITION\$1OPERATOR

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
```

**Resolver el error**

Actualice la condición para utilizar un operador de condición compatible.

**Términos relacionados**
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error — Efecto no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-effect"></a>

**Código de problema: **INVALID\$1EFFECT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
```

**Resolver el error**

Actualizar el elemento `Effect` para utilizar un efecto válido. Los valores válidos para `Effect` son **Allow** y **Deny**.

**Términos relacionados**
+ [Elemento de efecto](reference_policies_elements_effect.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error: clave de condición global no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-global-condition-key"></a>

**Código de problema: **INVALID\$1GLOBAL\$1CONDITION\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
```

**Resolver el error**

Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.

Las claves de condición globales son claves de condición con un prefijo `aws:`. Los servicios de AWS pueden admitir claves de condición globales o proporcionar claves específicas del servicio que incluyan su prefijo de servicio. Por ejemplo, las claves de condición de IAM incluyen el prefijo `iam:`. Para obtener más información, vea [Acciones, recursos y claves de condición para servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) y elija el servicio cuyas claves desea ver.

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)

## Error — Partición no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-partition"></a>

**Código de problema: **INVALID\$1PARTITION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
```

**Resolver el error**

Actualice el ARN del recurso para incluir una partición compatible. Si ha incluido una partición compatible, es posible que el servicio o recurso no admita la partición que ha incluido.

Una *partición* es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición. En Regiones clásicas, utilice la partición `aws`. En las regiones de China, utilice `aws-cn`.

**Términos relacionados**
+ [Nombres de recursos de Amazon (ARN) - Particiones](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)

## Error: elemento de política no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-policy-element"></a>

**Código de problema: **INVALID\$1POLICY\$1ELEMENT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid policy element: The policy element {{element}} is not valid.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy element {{element}} is not valid."
```

**Resolver el error**

Actualice la política para incluir solo los elementos de política JSON compatibles.

**Términos relacionados**
+ [Elementos de la política JSON](reference_policies_elements.md)

## Error: formato de la entidad principal no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-principal-format"></a>

**Código de problema: **INVALID\$1PRINCIPAL\$1FORMAT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
```

**Resolver el error**

Actualice la entidad principal para utilizar un formato de par clave-valor compatible. 

Puede especificar una entidad principal en una política basada en recursos, pero no una política basada en identidad. 

Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:

```
"Principal": { "AWS": "123456789012" }
```

**Términos relacionados**
+ [Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)
+ [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md)

## Error: clave de la entidad principal no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-principal-key"></a>

**Código de problema: **INVALID\$1PRINCIPAL\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid principal key: The principal key {{principal-key}} is not valid.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The principal key {{principal-key}} is not valid."
```

**Resolver el error**

Actualice la clave en el par clave-valor de entidad principal para utilizar una clave de entidad principal compatible. Las siguientes son las claves de entidades principales admitidas:
+ AWS
+ CanonicalUser
+ Federado
+ Servicio

**Términos relacionados**
+ [Elemento principal](reference_policies_elements_principal.md)

## Error: región no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-region"></a>

**Código de problema: **INVALID\$1REGION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."
```

**Resolver el error**

Actualice el valor del par clave-valor de condición para incluir una región admitida. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la [Tabla de regiones](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [Nombres y códigos de regiones](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Error: servicio no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-service"></a>

**Código de problema: **INVALID\$1SERVICE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid service: The service {{service}} does not exist. Use a valid service name.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
```

**Resolver el error**

El prefijo de servicio en la clave de acción o condición debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio y busque su prefijo en la primera oración.

**Términos relacionados**
+ [ Los servicios conocidos y sus acciones, los recursos y las claves de condición de los servicios conocidos](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: clave de condición de servicio no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-service-condition-key"></a>

**Código de problema: **INVALID\$1SERVICE\$1CONDITION\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
```

**Resolver el error**

Actualice la clave en el par clave-valor de condición para utilizar una clave de condición conocida para el servicio. Los nombres de las claves de condición globales comienzan con el prefijo `aws`. Los servicios de AWS pueden proporcionar claves específicas de servicios que incluyen el prefijo de servicio. Para ver el prefijo para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [ Los servicios conocidos y sus acciones, los recursos y las claves de condición de los servicios conocidos](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: servicio no válido en acción
<a name="access-analyzer-reference-policy-checks-error-invalid-service-in-action"></a>

**Código de problema: **INVALID\$1SERVICE\$1IN\$1ACTION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
```

**Resolver el error**

El prefijo de servicio de la acción debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio y busque su prefijo en la primera oración.

**Términos relacionados**
+ [Elemento de acción](reference_policies_elements_action.md)
+ [ Servicios conocidos y sus acciones](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: variable no válida para el operador
<a name="access-analyzer-reference-policy-checks-error-invalid-variable-for-operator"></a>

**Código de problema: **INVALID\$1VARIABLE\$1FOR\$1OPERATOR

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Policy variables can only be used with String and ARN operators."
```

**Resolver el error**

Puede utilizar variables de política en el elemento `Resource` y en la comparación de cadenas en el elemento `Condition`. Las condiciones admiten variables cuando se utilizan operadores de cadena u operadores ARN. Los operadores de cadena incluyen `StringEquals`, `StringLike` y `StringNotLike`. Los operadores ARN incluyen `ArnEquals` y `ArnLike`. No se puede utilizar una variable de política con otros operadores como operadores numéricos, fecha, booleanos, binarios, dirección de IP o nulos.

**Términos relacionados**
+ [Uso de variables de política en el elemento Condition](reference_policies_variables.md#policy-vars-conditionelement)
+ [Elemento de condición](reference_policies_elements_condition.md)

## Error: versión no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-version"></a>

**Código de problema: **INVALID\$1VERSION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"
```

**Resolver el error**

El elemento de la política `Version` especifica las reglas de sintaxis del lenguaje que AWS va a utilizar para procesar esta política. Para utilizar todas las características disponibles de la política, incluya el último elemento `Version` antes del elemento `Statement` en todas sus políticas.

```
"Version": "2012-10-17"
```

**Términos relacionados**
+ [Elementos Version](reference_policies_elements_version.md)

## Error — Error de sintaxis Json
<a name="access-analyzer-reference-policy-checks-error-json-syntax-error"></a>

**Código de problema: **JSON\$1SYNTAX\$1ERROR

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
```

**Resolver el error**

La política incluye un error de sintaxis. Compruebe su sintaxis JSON.

**Términos relacionados**
+ [Validador de JSON](https://json-validate.com/)
+ [Referencia de los elementos de las políticas de JSON de IAM](reference_policies_elements.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error — Error de sintaxis Json
<a name="access-analyzer-reference-policy-checks-error-json-syntax-error"></a>

**Código de problema: **JSON\$1SYNTAX\$1ERROR

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Json syntax error: Fix the JSON syntax error.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Fix the JSON syntax error."
```

**Resolver el error**

La política incluye un error de sintaxis. Compruebe su sintaxis JSON.

**Términos relacionados**
+ [Validador de JSON](https://json-validate.com/)
+ [Referencia de los elementos de las políticas de JSON de IAM](reference_policies_elements.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error: falta acción
<a name="access-analyzer-reference-policy-checks-error-missing-action"></a>

**Código de problema: **MISSING\$1ACTION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing action: Add an Action or NotAction element to the policy statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add an Action or NotAction element to the policy statement."
```

**Resolver el error**

Las políticas JSON AWS deben incluir un elemento `Action` o `NotAction`.

**Términos relacionados**
+ [Elemento de acción](reference_policies_elements_action.md)
+ [Elemento NotAction](reference_policies_elements_notaction.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error — Falta el campo ARN
<a name="access-analyzer-reference-policy-checks-error-missing-arn-field"></a>

**Código de problema: **MISSING\$1ARN\$1FIELD

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
```

**Resolver el error**

Todos los campos del ARN del recurso deben coincidir con las especificaciones de un tipo de recurso conocido. Para ver el formato ARN esperado para un servicio, consulte [Acciones, recursos y claves de condiciones para Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: falta región ARN
<a name="access-analyzer-reference-policy-checks-error-missing-arn-region"></a>

**Código de problema: **MISSING\$1ARN\$1REGION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing ARN Region: Add a Region to the {{service}} resource ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a Region to the {{service}} resource ARN."
```

**Resolver el error**

Los ARN de recursos para la mayoría de los servicios AWS requieren que especifique una región. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la [Tabla de regiones](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [Nombres y códigos de regiones](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Error — Falta el efecto
<a name="access-analyzer-reference-policy-checks-error-missing-effect"></a>

**Código de problema: **MISSING\$1EFFECT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
```

**Resolver el error**

Las políticas JSON AWS deben incluir un elemento `Effect` con un valor de **Allow** y **Deny**.

**Términos relacionados**
+ [Elemento de efecto](reference_policies_elements_effect.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error — Falta la entidad principal
<a name="access-analyzer-reference-policy-checks-error-missing-principal"></a>

**Código de problema: **MISSING\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing principal: Add a Principal element to the policy statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a Principal element to the policy statement."
```

**Resolver el error**

Las políticas basadas en recursos deben incluir un elemento `Principal`.

Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:

```
"Principal": { "AWS": "123456789012" }
```

**Términos relacionados**
+ [Elemento principal](reference_policies_elements_principal.md)
+ [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md)

## Error — Falta calificador
<a name="access-analyzer-reference-policy-checks-error-missing-qualifier"></a>

**Código de problema: **MISSING\$1QUALIFIER

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
```

**Resolver el error**

En el elemento `Condition`, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe incluir las condiciones entre corchetes, como una matriz ("Key2": ["Value2A", "Value2B"]). También debe utilizar los operadores `ForAllValues` o `ForAnyValue` con el operador de condición `StringLike`. Estos calificadores añaden la funcionalidad de operación de definición al operador de condición para que pueda probar varios valores con varios valores de condición.

**Términos relacionados**
+ [Claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elemento de condición](reference_policies_elements_condition.md)

### AWS políticas administradas con este error
<a name="accan-ref-policy-check-message-fix-error-missing-qualifier-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las siguientes políticas administradas AWS incluyen un calificador que falta para las claves de condición en sus declaraciones de política. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que agregue los calificadores de clave de condición `ForAllValues` o `ForAnyValue` a su elemento`Condition`.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)

## Error: falta recurso
<a name="access-analyzer-reference-policy-checks-error-missing-resource"></a>

**Código de problema: **MISSING\$1RESOURCE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing resource: Add a Resource or NotResource element to the policy statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a Resource or NotResource element to the policy statement."
```

**Resolver el error**

Todas las políticas, excepto las políticas de confianza de roles, deben incluir un elemento `Resource` o `NotResource`.

**Términos relacionados**
+ [Elemento de recurso](reference_policies_elements_resource.md)
+ [Elemento NotResource](reference_policies_elements_notresource.md)
+ [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error — Falta la instrucción
<a name="access-analyzer-reference-policy-checks-error-missing-statement"></a>

**Código de problema: **MISSING\$1STATEMENT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing statement: Add a statement to the policy
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a statement to the policy"
```

**Resolver el error**

Una política JSON debe incluir una instrucción.

**Términos relacionados**
+ [Elementos de la política JSON](reference_policies_elements.md)

## Error: nulo con si existe
<a name="access-analyzer-reference-policy-checks-error-null-with-if-exists"></a>

**Código de problema: **NULL\$1WITH\$1IF\$1EXISTS

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
```

**Resolver el error**

Puede agregar `IfExists` al final de cualquier nombre de operador de condición, salvo el operador de condición `Null`. Utilice un operador de condición `Null` para comprobar si una clave de condición está presente en el momento de la autorización. Use `...ifExists` para decir lo siguiente: "Si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero”.

**Términos relacionados**
+ [...Operadores de condición ...IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Operador de condición nulo](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemento de condición](reference_policies_elements_condition.md)

## Error: comodín de acción de error de sintaxis de SCP
<a name="access-analyzer-reference-policy-checks-error-scp-syntax-error-action-wildcard"></a>

**Código de problema: **SCP\$1SYNTAX\$1ERROR\$1ACTION\$1WILDCARD

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
```

**Resolver el error**

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos `Action` o `NotAction`. Sin embargo, estos valores pueden incluir comodines (\$1) solo al final de la cadena. Esto significa que puede especificar `iam:Get*` pero no `iam:*role`.

Para especificar varias acciones, AWS recomienda que los enumere individualmente.

**Términos relacionados**
+ [Elementos Acción de SCP y NotAction](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html#scp-syntax-action)
+ [Evaluación de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)
+ [AWS Organizations Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)

## Error – Entidad principal de error de sintaxis de SCP
<a name="access-analyzer-reference-policy-checks-error-scp-syntax-error-principal"></a>

**Código de problema: **SCP\$1SYNTAX\$1ERROR\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
```

**Resolver el error**

Las políticas de control de servicios (SCP) AWS Organizations no admiten el `Principal` o elementos `NotPrincipal`

Puede especificar el nombre de recurso de Amazon (ARN) con la clave de condición global `aws:PrincipalArn` en el elemento `Condition`.

**Términos relacionados**
+ [Sintaxis de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Claves de condición globales para entidades principales](reference_policies_condition-keys.md#condition-keys-principalarn)

## Error: se requieren Sids únicos
<a name="access-analyzer-reference-policy-checks-error-unique-sids-required"></a>

**Código de problema: **UNIQUE\$1SIDS\$1REQUIRED

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
```

**Resolver el error**

Para algunos tipos de políticas, los ID de instrucción deben ser únicos. El elemento `Sid` (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento `SID`. En los servicios que le permiten especificar un elemento , como, por ejemplo, SQS y SNS, el valor de `Sid` es simplemente un subID del ID del documento de la política. Por ejemplo, en IAM, el valor de `Sid` debe ser único en la política de JSON.

**Términos relacionados**
+ [Elemento de la política de JSON de IAM: Sid](reference_policies_elements_sid.md)

## Error: acción no admitida en la política
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-in-policy"></a>

**Código de problema: **UNSUPPORTED\$1ACTION\$1IN\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Resolver el error**

Algunas acciones no se admiten en el elemento `Action` de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: combinación de elementos no admitidos
<a name="access-analyzer-reference-policy-checks-error-unsupported-element-combination"></a>

**Código de problema: **UNSUPPORTED\$1ELEMENT\$1COMBINATION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."
```

**Resolver el error**

Algunas combinaciones de elementos de política JSON no se pueden utilizar juntas. Por ejemplo, no se puede utilizar `Action` y `NotAction` en la misma instrucción de política. Otros pares que se excluyen mutuamente son `Principal/NotPrincipal` y `Resource/NotResource`.

**Términos relacionados**
+ [Referencia de los elementos de las políticas de JSON de IAM](reference_policies_elements.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Error: clave de condición global no admitida
<a name="access-analyzer-reference-policy-checks-error-unsupported-global-condition-key"></a>

**Código de problema: **UNSUPPORTED\$1GLOBAL\$1CONDITION\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
```

**Resolver el error**

AWS no admite el uso de la clave de condición global especificada. Dependiendo de su caso de uso, puede utilizar las claves de condición globales de `aws:PrincipalArn` o `aws:SourceArn`. Por ejemplo, en vez de `aws:ARN`, utilice `aws:PrincipalArn` para comparar el Nombre de recurso de Amazon (ARN) de la entidad principal que ha realizado la solicitud con el ARN que se especifique en la política. Alternativamente, utilice la clave de condición global `aws:SourceArn` para comparar el Nombre de recurso de Amazon (ARN) del recurso que realiza una solicitud de servicio a servicio con el ARN que especifique en la política.

**Términos relacionados**
+ [AWS Claves de contexto de condición global de](reference_policies_condition-keys.md)

## Error – Entidad principal no admitida
<a name="access-analyzer-reference-policy-checks-error-unsupported-principal"></a>

**Código de problema: **UNSUPPORTED\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."
```

**Resolver el error**

El elemento `Principal` especifica la entidad principal que tiene acceso permitido o denegado a un recurso. No puede utilizar el elemento `Principal` en una política basada en identidad de IAM. Puede utilizarlo en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso. Por ejemplo, puede integrar las políticas en un bucket de Amazon S3 o en una clave KMS de AWS.

**Términos relacionados**
+ [AWS Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)
+ [Acceso a recursos entre cuentas en IAM](access_policies-cross-account-resource-access.md)

## Error: ARN de recurso no admitido en la política
<a name="access-analyzer-reference-policy-checks-error-unsupported-resource-arn-in-policy"></a>

**Código de problema: **UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Resolver el error**

Algunos ARN de recursos no se admiten en el elemento `Resource` de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento `Resource` con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: Sid no admitido
<a name="access-analyzer-reference-policy-checks-error-unsupported-sid"></a>

**Código de problema: **UNSUPPORTED\$1SID

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
```

**Resolver el error**

El elemento `Sid` admite letras mayúsculas, minúsculas y números.

**Términos relacionados**
+ [Elemento de la política de JSON de IAM: Sid](reference_policies_elements_sid.md)

## Error: comodín no admitido en la entidad principal
<a name="access-analyzer-reference-policy-checks-error-unsupported-wildcard-in-principal"></a>

**Código de problema: **UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
```

**Resolver el error**

La estructura del elemento de `Principal` admite el uso de un par de clave-valor. El valor principal especificado en la política incluye un comodín (\$1). No se puede incluir un comodín con la clave principal especificada. Por ejemplo, si especifica usuarios en un elemento `Principal`, no puede utilizar un comodín para designar a "todos los usuarios". Debe designar a un usuario o usuarios específicos. De manera similar, cuando especifica una sesión de rol asumido, no puede utilizar un comodín (\$1) para referirse a "todas las sesiones". Debe nombrar una sesión específica. Además, no puede utilizar un carácter comodín para buscar coincidencias con parte de un nombre o un ARN.

Para resolver este resultado, elimine el comodín y proporcione una entidad principal más específica.

**Términos relacionados**
+ [AWS Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)

## Error — Falta tornapunta en la variable
<a name="access-analyzer-reference-policy-checks-error-missing-brace-in-variable"></a>

**Código de problema: **MISSING\$1BRACE\$1IN\$1VARIABLE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
```

**Resolver el error**

La estructura de variables de política admite el uso de un prefijo `$` seguido de un par de llaves (`{ }`). Dentro de los caracteres `${ }`, incluya el nombre del valor de la solicitud que quiere utilizar en la política.

Para resolver este resultado, añada la clave faltante para asegurarse de que el conjunto completo de claves de apertura y cierre esté presente.

**Términos relacionados**
+ [Elementos de la política de IAM: variables](reference_policies_variables.md)

## Error: falta comilla en la variable
<a name="access-analyzer-reference-policy-checks-error-missing-quote-in-variable"></a>

**Código de problema: **MISSING\$1QUOTE\$1IN\$1VARIABLE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
```

**Resolver el error**

Cuando agrega una variable a la política, puede especificar un valor predeterminado para la variable. Si no hay una variable, AWS utiliza el texto predeterminado que proporcione.

Para agregar un valor predeterminado a una variable, rodee el valor predeterminado entre comillas simples (`' '`), y separe el texto de la variable y el valor predeterminado con una coma y un espacio (`, `).

Por ejemplo, si una entidad principal está etiquetada con `team=yellow`, pueden acceder al bucket de Amazon S3 `amzn-s3-demo-bucket` con el nombre `amzn-s3-demo-bucket-yellow`. Una política con este recurso podría permitir a los miembros del equipo acceder a sus propios recursos, pero no a los de otros equipos. Para los usuarios sin etiquetas de equipo, puede establecer un valor predeterminado de `company-wide`. Estos usuarios solo pueden acceder al bucket de `amzn-s3-demo-bucket-company-wide` en el que pueden ver información amplia, como instrucciones para unirse a un equipo.

```
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"
```

**Términos relacionados**
+ [Elementos de la política de IAM: variables](reference_policies_variables.md)

## Error: espacio no admitido en la variable
<a name="access-analyzer-reference-policy-checks-error-unsupported-space-in-variable"></a>

**Código de problema: **UNSUPPORTED\$1SPACE\$1IN\$1VARIABLE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
```

**Resolver el error**

La estructura de variables de política admite el uso de un prefijo `$` seguido de un par de llaves (`{ }`). Dentro de los caracteres `${ }`, incluya el nombre del valor de la solicitud que quiere utilizar en la política. Aunque puede incluir un espacio al especificar una variable predeterminada, no puede incluir un espacio en el nombre de la variable.

**Términos relacionados**
+ [Elementos de la política de IAM: variables](reference_policies_variables.md)

## Error: variable vacía
<a name="access-analyzer-reference-policy-checks-error-empty-variable"></a>

**Código de problema: **EMPTY\$1VARIABLE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
```

**Resolver el error**

La estructura de variables de política admite el uso de un prefijo `$` seguido de un par de llaves (`{ }`). Dentro de los caracteres `${ }`, incluya el nombre del valor de la solicitud que quiere utilizar en la política.

**Términos relacionados**
+ [Elementos de la política de IAM: Variables](reference_policies_variables.md)

## Error: variable no admitida en el elemento
<a name="access-analyzer-reference-policy-checks-error-variable-unsupported-in-element"></a>

**Código de problema: **VARIABLE\$1UNSUPPORTED\$1IN\$1ELEMENT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
```

**Resolver el error**

Puede utilizar variables de política en el elemento `Resource` y en la comparación de cadenas en el elemento `Condition`.

**Términos relacionados**
+ [Elementos de la política de IAM: variables](reference_policies_variables.md)

## Error — Variable no admitida en la versión
<a name="access-analyzer-reference-policy-checks-error-variable-unsupported-in-version"></a>

**Código de problema: **VARIABLE\$1UNSUPPORTED\$1IN\$1VERSION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
```

**Resolver el error**

Para poder utilizar las variables de políticas, debe incluir el elemento `Version` y establecerlo en una versión que admita las variables de la política. Variables se introdujeron en la versión `2012-10-17`. Las versiones anteriores del lenguaje de políticas no son compatibles con las variables de políticas. Si no establece `Version` a `2012-10-17` o posterior, las variables como `${aws:username}` se tratan como cadenas literales en la política.

El elemento de política `Version` es diferente de la versión de una política. El elemento de política `Version` se utiliza en una política y define la versión del lenguaje de la política. Una versión de política, se crea al cambiar una política administrada por el cliente en IAM. La política modificada no anula la política existente. En cambio, IAM crea una nueva versión de la política administrada.

**Términos relacionados**
+ [Elementos de la política de IAM: variables](reference_policies_variables.md)
+ [Elementos de la política JSON de IAM: versión](reference_policies_elements_version.md)

## Error: dirección IP privada
<a name="access-analyzer-reference-policy-checks-error-private-ip-address"></a>

**Código de problema: **PRIVATE\$1IP\$1ADDRESS

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
```

**Resolver el error**

La clave de condición global `aws:SourceIp` solo funciona para rangos de direcciones IP públicas. Recibe este error cuando su política solo permite direcciones IP privadas. En este caso, la condición nunca coincidiría.
+ [aws:SourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Error — Dirección de notificación privada
<a name="access-analyzer-reference-policy-checks-error-private-not-ip-address"></a>

**Código de problema: **PRIVATE\$1NOT\$1IP\$1ADDRESS

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
```

**Resolver el error**

La clave de condición global `aws:SourceIp` solo funciona para rangos de direcciones IP públicas. Recibirá este error cuando utilice el operador de condición `NotIpAddress` y enumere solo las direcciones IP privadas. En este caso, la condición siempre coincidiría y sería ineficaz.
+ [aws:SourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Error: el tamaño de la política supera la cuota de SCP
<a name="access-analyzer-reference-policy-checks-error-policy-size-exceeds-scp-quota"></a>

**Código de problema: **POLICY\$1SIZE\$1EXCEEDS\$1SCP\$1QUOTA

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
```

**Resolver el error**

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos `Action` o `NotAction`. Sin embargo, estos valores pueden incluir comodines (\$1) solo al final de la cadena. Esto significa que puede especificar `iam:Get*` pero no `iam:*role`.

Para especificar varias acciones, AWS recomienda que los enumere individualmente.

**Términos relacionados**
+ [Cuotas para Organizations AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

## Error: formato principal de servicio no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-service-principal-format"></a>

**Código de problema: **INVALID\$1SERVICE\$1PRINCIPAL\$1FORMAT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
```

**Resolver el error**

El valor del par clave-valor de condición debe coincidir con un formato de entidad principal de servicio definido.

Un *principal de servicio* es un identificador que se utiliza para conceder permisos a un servicio. Puede especificar una entidad principal en el elemento `Principal` o como un valor de algunas claves de condición globales y claves específicas del servicio. El servicio define la entidad principal de cada servicio.

El identificador de una entidad principal de servicio incluye el nombre del servicio y suele tener el siguiente formato en letras minúsculas:

`service-name.amazonaws.com`

Algunas claves específicas de servicio pueden utilizar un formato diferente para las entidades de servicio. Por ejemplo, la clave de condición `kms:ViaService` requiere el siguiente formato para las entidades principales de servicio en letras minúsculas:

`service-name.AWS_region.amazonaws.com`

**Términos relacionados**
+ [Principales del servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS Claves de condición global de](reference_policies_condition-keys.md)
+ [`kms:ViaService` Clave de condición de](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)

## Error – Falta la clave de etiqueta en la condición
<a name="access-analyzer-reference-policy-checks-error-missing-tag-key-in-condition"></a>

**Código de problema: **MISSING\$1TAG\$1KEY\$1IN\$1CONDITION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
```

**Resolver el error**

Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](reference_policies_elements_condition.md) de una política.

Por ejemplo, para [Controlar del acceso a recursos AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources), usted incluye la clave de condición de `aws:ResourceTag`. Esta clave requiere el formato `aws:ResourceTag/tag-key`. Para especificar la clave de etiqueta `owner` y el valor de la etiqueta `JaneDoe` en una condición, utilice el formato siguiente.

```
"Condition": {
    "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
```

**Términos relacionados**
+ [Control del acceso mediante etiquetas](access_iam-tags.md)
+ [Condiciones](reference_policies_elements_condition.md)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [AWS Claves de condición de servicio de](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: formato vpc no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-vpc-format"></a>

**Código de problema: **INVALID\$1VPC\$1FORMAT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
```

**Resolver el error**

La clave de condición `aws:SourceVpc` debe utilizar el prefijo `vpc-` seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, `vpc-11223344556677889` o `vpc-12345678`.

**Términos relacionados**
+ [AWS Claves de condición global de : aws:SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)

## Error: formato vpce no válido
<a name="access-analyzer-reference-policy-checks-error-invalid-vpce-format"></a>

**Código de problema: **INVALID\$1VPCE\$1FORMAT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid vpce format: The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
```

**Resolver el error**

La clave de condición `aws:SourceVpce` debe utilizar el prefijo `vpce-` seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, `vpce-11223344556677889` o `vpce-12345678`.

**Términos relacionados**
+ [AWS Claves de condición global de : aws:SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)

## Error: no se admite la entidad principal federada
<a name="access-analyzer-reference-policy-checks-error-federated-principal-not-supported"></a>

**Código de problema: **FEDERATED\$1PRINCIPAL\$1NOT\$1SUPPORTED

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
```

**Resolver el error**

El elemento `Principal` utiliza entidad principales federadas para políticas de confianza asociadas a roles de IAM con el fin de proporcionar acceso a través de la federación de identidades. Las políticas de identidad y otras políticas basadas en recursos no admiten un proveedor de identidad federada en el elemento `Principal`. Por ejemplo, no puede utilizar una entidad principal SAML en una política de bucket de Amazon S3. Cambie el elemento `Principal` a un tipo de entidad principal compatible.

**Términos relacionados**
+ [Creación de un rol para la federación de identidades](id_roles_create_for-idp.md)
+ [Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)

## Error: acción no admitida para la clave de condición
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key"></a>

**Código de problema: **UNSUPPORTED\$1ACTION\$1FOR\$1CONDITION\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
```

**Resolver el error**

Asegúrese de que la clave de condición del elemento `Condition` de la instrucción de política se aplique a todas las acciones del elemento `Action`. Para asegurarse de que la política permite o deniega efectivamente las acciones especificadas, debe mover las acciones no admitidas a otra instrucción sin la clave de condición.

**nota**  
Si el elemento `Action` tiene acciones con comodines, el Analizador de acceso de IAM no evalúa esas acciones para este error.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: acción no admitida en la política
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-in-policy"></a>

**Código de problema: **UNSUPPORTED\$1ACTION\$1IN\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Resolver el error**

Algunas acciones no se admiten en el elemento `Action` de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: ARN de recurso no admitido en la política
<a name="access-analyzer-reference-policy-checks-error-unsupported-resource-arn-in-policy"></a>

**Código de problema: **UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Resolver el error**

Algunos ARN de recursos no se admiten en el elemento `Resource` de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento `Resource` con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: clave de condición no admitida para la entidad principal de servicio
<a name="access-analyzer-reference-policy-checks-error-unsupported-condition-key-for-service-principal"></a>

**Código de problema: **UNSUPPORTED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
```

**Resolver el error**

Puede especificar Servicios de AWS en el elemento `Principal` de una política basada en recursos mediante una *entidad principal de servicio*, que es un identificador del servicio. No puede utilizar algunas claves de condición con ciertas entidades principales de servicio. Por ejemplo, no puede utilizar la clave de condición `aws:PrincipalOrgID` con la entidad principal de servicio `cloudfront.amazonaws.com`. Debe eliminar las claves de condición que no se aplican a la entidad principal de servicio en el elemento `Principal`.

**Términos relacionados**
+ [Entidades principales del servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)

## Error: error de sintaxis de la política de confianza del rol notprincipal
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-syntax-error-notprincipal"></a>

**Código de problema: **ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1NOTPRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
```

**Resolver el error**

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de rol no admite `NotPrincipal`. Actualice la política para utilizar un elemento `Principal` en su lugar.

**Términos relacionados**
+ [Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)
+ [Elementos de la política de JSON: NotPrincipal](reference_policies_elements_notprincipal.md)

## Error: la política de confianza del rol no admite comodines en la entidad principal
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-unsupported-wildcard-in-principal"></a>

**Código de problema: **ROLE\$1TRUST\$1POLICY\$1UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
```

**Resolver el error**

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden asumir el rol. `"Principal:" "*"` no se admite en el elemento `Principal` de una política de confianza de rol. Sustituir el comodín por un valor válido de entidad principal.

**Términos relacionados**
+ [Elementos de la política JSON: entidad principal](reference_policies_elements_principal.md)

## Error: recurso de error de sintaxis de la política de confianza
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-syntax-error-resource"></a>

**Código de problema: **ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1RESOURCE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
```

**Resolver el error**

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de los roles se aplican al rol al que están vinculadas. No se puede especificar un `Resource` o un elemento `NotResource` en una política de confianza de rol. Elimine el `Resource` o el elemento `NotResource`.
+ [Elementos de la política de JSON: Recurso](reference_policies_elements_resource.md)
+ [Elementos de la política de JSON: NotResource](reference_policies_elements_notresource.md)

## Error: discrepancia de tipo de rango de IP
<a name="access-analyzer-reference-policy-checks-error-type-mismatch-ip-range"></a>

**Código de problema: **TYPE\$1MISMATCH\$1IP\$1RANGE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
```

**Resolver el error**

Actualice el texto para utilizar el tipo de datos del operador de condición de dirección IP, en un formato CIDR.

**Términos relacionados**
+ [Operadores de condición de dirección IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Error: falta acción para la clave de condición
<a name="access-analyzer-reference-policy-checks-error-missing-action-for-condition-key"></a>

**Código de problema: **MISSING\$1ACTION\$1FOR\$1CONDITION\$1KEY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
```

**Resolver el error**

La clave de condición del elemento `Condition` de la declaración de política no se evalúa a menos que la acción especificada esté en elemento `Action`. Para garantizar que las claves de condición que especifique sean efectivamente permitidas o denegadas por su política, añada la acción al elemento `Action`.

**Términos relacionados**
+ [Elementos de la política de JSON: acción](reference_policies_elements_action.md)

## Error: sintaxis de la entidad principal federada no válida en la política de confianza del rol
<a name="access-analyzer-reference-policy-checks-error-invalid-federated-principal-syntax-in-role-trust-policy"></a>

**Código de problema: **INVALID\$1FEDERATED\$1PRINCIPAL\$1SYNTAX\$1IN\$1ROLE\$1TRUST\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
```

**Resolver el error**

El valor de la entidad principal especifica una entidad principal federada que no coincide con el formato esperado. Actualice el formato de la entidad principal federada a un nombre de dominio válido o a un ARN de metadatos SAML.

**Términos relacionados**
+ [Usuarios federados y roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)

## Error: acción incorrecta para la entidad principal
<a name="access-analyzer-reference-policy-checks-error-mismatched-action-for-principal"></a>

**Código de problema: **MISMATCHED\$1ACTION\$1FOR\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
```

**Resolver el error**

La acción especificada en el elemento `Action` de la declaración de la política no es válida para la entidad principal especificada en el elemento `Principal`. Por ejemplo, no se puede utilizar una entidad principal del proveedor SAML para la acción `sts:AssumeRoleWithWebIdentity`. Debe utilizar una entidad principal de proveedor SAML con la acción `sts:AssumeRoleWithSAML` o utilizar una entidad principal de proveedor OIDC con la acción `sts:AssumeRoleWithWebIdentity`.

**Términos relacionados**
+ [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)

## Error: falta una acción para la política de confianza de funciones en cualquier lugar
<a name="access-analyzer-reference-policy-checks-error-missing-action-for-roles-anywhere-trust-policy"></a>

**Código de problema: **MISSING\$1ACTION\$1FOR\$1ROLES\$1ANYWHERE\$1TRUST\$1POLICY

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
```

**Resolver el error**

Para que IAM Roles Anywhere pueda asumir un rol y suministrar credenciales AWS temporales, el rol debe confiar en la entidad principal del servicio Funciones de IAM en cualquier lugar. La entidad principal del servicio IAM Roles Anywhere requiere el `sts:AssumeRole`, `sts:SetSourceIdentity`, y los permisos `sts:TagSession` para asumir un rol. Si falta alguno de los permisos, debe añadirlo a la política.

**Términos relacionados**
+ [Modelo de confianza en Funciones en cualquier lugar de AWS Identity and Access Management](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html)

## Error: el tamaño de la política supera la cuota de RCP
<a name="access-analyzer-reference-policy-checks-error-policy-size-exceeds-rcp-quota"></a>

**Código de problema: **POLICY\$1SIZE\$1EXCEEDS\$1RCP\$1QUOTA

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."
```

**Resolver el error**

Las políticas de control de recursos (RCP) de AWS Organizations admiten la especificación de valores en el elemento `Action`. Sin embargo, estos valores pueden incluir comodines (\$1) solo al final de la cadena. Esto significa que puede especificar `s3:Get*` pero no `s3:*Object`.

Para especificar varias acciones, AWS recomienda que los enumere individualmente.

**Términos relacionados**
+ [Cuotas para AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations Políticas de control de recursos de](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)

## Error: entidad principal de error de sintaxis de RCP
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-principal"></a>

**Código de problema: **RCP\$1SYNTAX\$1ERROR\$1PRINCIPAL

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."
```

**Resolver el error**

Las políticas de control de recursos (RCP) de AWS Organizations solo admiten la especificación de todas entidades principales (“`*`”) del elemento `Principal`. El elemento `NotPrincipal` no es compatible con las RCP.

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propiedades de la entidad principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Error: error de sintaxis de RCP permitir
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-allow"></a>

**Código de problema: **RCP\$1SYNTAX\$1ERROR\$1ALLOW

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."
```

**Resolver el error**

Las políticas de control de recursos (RCP) de AWS Organizations solo admiten la especificación de todas las entidades principales (“`*`”) del elemento `Principal` y todos los recursos (“`*`”) del elemento `Resource`. El elemento `Condition` con un efecto de `Allow` no es compatible con las RCP.

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propiedades de la entidad principal](reference_policies_condition-keys.md#condition-keys-principal-properties)
+ [Propiedades del recurso](reference_policies_condition-keys.md#condition-keys-resource-properties)

## Error: error de sintaxis de RCP NotAction
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-notaction"></a>

**Código de problema: **RCP\$1SYNTAX\$1ERROR\$1NOTACTION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."
```

**Resolver el error**

Las políticas de control de recursos (RCP) de AWS Organizations no admiten el elemento `NotAction` Utilice el elemento `Action`.

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM: NotAction](reference_policies_elements_notaction.md)

## Error: acción de error de sintaxis de RCP
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-action"></a>

**Código de problema: **RCP\$1SYNTAX\$1ERROR\$1ACTION

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."
```

**Resolver el error**

Las políticas de control de recursos (RCP) de AWS Organizations solo admiten la especificación de determinados prefijos de servicio en el elemento `Action`.

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Lista de los Servicios de AWS compatibles con las RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)

## Error: falta la cuenta ARN
<a name="access-analyzer-reference-policy-checks-error-missing-arn-account"></a>

**Código de problema: **MISSING\$1ARN\$1ACCOUNT

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."
```

**Resolver el error**

Incluya un ID de cuenta en el ARN del recurso. Los ID de cuenta son números enteros de 12 dígitos. Para obtener información sobre cómo ver el ID de su cuenta de, consulte [Búsqueda del ID de su cuenta de AWS](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).

**Términos relacionados**
+ [Recursos de políticas](reference_policies_elements_resource.md)
+ [Identificadores de cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [ARN del recurso](reference_identifiers.md#identifiers-arns)
+ [AWS Recursos de servicio con formatos ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Error: valor de clave KMS no válida
<a name="access-analyzer-reference-policy-checks-error-invalid-kms-key-value"></a>

**Código del problema: **INVALID\$1KMS\$1KEY\$1VALUE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."
```

**Resolver el error**

Un ARN (Nombre de recurso de Amazon) AWS KMS key es un identificador único y completo para una clave KMS. Un ARN de clave incluye la Cuenta de AWS, la región y el ID de clave. El ARN tiene el siguiente formato:

`arn:aws:kms:region:account-id:key/key-id`

**Términos relacionados**
+ [Encontrar el ID de clave y el ARN de clave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)
+ [ARN de clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN)
+ [AWS Claves de contexto de condición globales de](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)

## Error: uso de variables demasiado permisivo
<a name="access-analyzer-reference-policy-checks-error-variable-usage-too-permissive"></a>

**Código del problema: **VARIABLE\$1USAGE\$1TOO\$1PERMISSIVE

**Tipo de resultado: **ERROR

**Detalles de los resultados** 

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.
```

```
The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```

```
Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters."
```

```
"findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```

```
"findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."
```

**Resolver el error**

Hay tres posibles mensajes de resultados para este error.
+ Para el primer mensaje de error, modifique el uso de las variables de la política para que sea más específico. Agregue al menos seis caracteres consecutivos antes de la variable de la política para reducir el alcance de los permisos. Por ejemplo, en lugar de usar `${aws:username}`, puede usar `prefix-${aws:username}` o `myapp-${aws:username}`. Esto garantiza que la variable de la política no conceda un acceso demasiado amplio.
+ Para el segundo mensaje de error, elimine la variable de la política de la clave de condición especificada. Las variables de políticas pueden actuar como caracteres comodín efectivos y, por motivos de seguridad, no se permiten con claves de condición confidenciales. En su lugar, use valores estáticos específicos o considere la posibilidad de reestructurar la política para usar claves de condición no confidenciales que admitan las variables de política.
+ Para el tercer mensaje de error, modifique el uso de las variables de la política de `aws:userID` para que sea más restrictivo. Coloque la variable de la política a la derecha de los dos puntos (después del ID de la cuenta) o úsela como el único carácter a la izquierda de los dos puntos. Por ejemplo, use `AIDACKCEVSQ6C2EXAMPLE:${aws:userid}` o `${aws:userid}:*` en lugar de `${aws:userid}`.

**Términos relacionados**
+ [Elementos de la política de IAM: variables y etiquetas](reference_policies_variables.md)
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)

## Error: el uso del comodín es demasiado permisivo
<a name="access-analyzer-reference-policy-checks-error-wildcard-usage-too-permissive"></a>

**Código del problema: **WILDCARD\$1USAGE\$1TOO\$1PERMISSIVE

**Tipo de resultado: **ERROR

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.
```

```
The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```

```
Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters."
```

```
"findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```

```
"findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."
```

**Resolver el error**

Hay tres posibles mensajes de resultados para este error.
+ Para el primer mensaje de error, especifique el uso del comodín agregando al menos seis caracteres consecutivos antes del comodín. Por ejemplo, en lugar de usar `*`, puede usar `prefix-*` o `prefix-*-suffix`. Esto reduce el alcance de la condición y cumple el principio de privilegio mínimo.
+ Para el segundo mensaje de error, elimine el comodín de la clave de condición especificada. Por motivos de seguridad, no se permiten comodines con claves de condición confidenciales. Reemplace el comodín con valores específicos que coincidan con el patrón de acceso previsto, o considere usar otra clave de condición, no confidencial, que admita caracteres comodín.
+ Para el tercer mensaje de error, modifique el uso de los comodines de `aws:userID` para que sea más restrictivo. Coloque el comodín a la derecha de los dos puntos (después del ID de la cuenta) o úselo como el único carácter a la izquierda de los dos puntos. Por ejemplo, use `AIDACKCEVSQ6C2EXAMPLE:*` o `*:*` en lugar de `*`. 

**Términos relacionados**
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)
+ [Identificadores de IAM](reference_identifiers.md)

## Advertencia general: crear SLR con NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-not-resource"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1NOT\$1RESOURCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar `iam:CreateServiceLinkedRole` en una política con el elemento `NotResource` se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento `Resource`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM recurso](reference_policies_elements_resource.md)

## Advertencia general — Crear SLR con estrella en acción y NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-action-and-not-resource"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (\$1) en el `Action` y que incluyen el elemento `NotResource` pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento `Resource`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia general: crear SLR con NotAction y NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-not-action-and-not-resource"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento `NotAction` con el elemento `NotResource` se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, que vuelva a escribir la política para permitir `iam:CreateServiceLinkedRole` en una lista limitada de ARN en el elemento `Resource`. También puede agregar `iam:CreateServiceLinkedRole` al elemento `NotAction`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM: NotAction](reference_policies_elements_notaction.md)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia general: crea SLR con estrella en el recurso
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-resource"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar `iam:CreateServiceLinkedRole` en una política con un comodín (\$1) en el elemento `Resource` se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento `Resource`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

### AWS políticas administradas con esta advertencia general
<a name="accan-ref-policy-check-message-fix-general-warning-create-slr-with-star-in-resource-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para usuarios avanzados de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de usuarios avanzados y otorgan permisos para crear [roles vinculados al servicio](id_roles_create-service-linked-role.md) para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere usuarios avanzados.
+ [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [AlexaForBusinessFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AlexaForBusinessFullAccess)
+ [AWSOrganizationsServiceTrustPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSOrganizationsServiceTrustPolicy)— Esta política administrada de AWS proporciona permisos para su uso por parte del rol vinculado al servicio de AWS Organizations. Esta función permite a las Organizations a crear roles vinculados a servicios adicionales para otros servicios en su organización AWS.

## Advertencia general: cree SLR con estrella en acción y recurso
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-action-and-resource"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (\$1) en los elementos `Action` y `Resource` pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. Esto permite crear un rol vinculado al servicio cuando especifica `"Action": "*"`, `"Action": "iam:*"`, o `"Action": "iam:Create*"`. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

### AWS políticas administradas con esta advertencia general
<a name="accan-ref-policy-check-message-fix-general-warning-create-slr-with-star-in-action-and-resource-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para crear [roles vinculados al servicio](id_roles_create-service-linked-role.md) para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)

## Advertencia general — Crear SLR con estrella en el recurso y NotAction
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-resource-and-not-action"></a>

**Código de problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```

**Resolver la advertencia general**

La acción `iam:CreateServiceLinkedRole` otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento `NotAction` en una política con un carácter comodín (\$1) en el elemento `Resource` puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. En su lugar, AWS recomienda que usted especifique los ARN permitidos en el elemento `Resource`. También puede agregar `iam:CreateServiceLinkedRole` al elemento `NotAction`.
+ [Operación CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementos de la política de JSON de IAM: NotAction](reference_policies_elements_notaction.md)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia general: clave de condición global obsoleta
<a name="access-analyzer-reference-policy-checks-general-warning-deprecated-global-condition-key"></a>

**Código de problema: **DEPRECATED\$1GLOBAL\$1CONDITION\$1KEY

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
```

**Resolver la advertencia general**

La política incluye una clave de condición global obsoleta. Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.
+ [Claves de condición global](reference_policies_condition-keys.md)

## Advertencia general: valor de fecha no válido
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-date-value"></a>

**Código de problema: **INVALID\$1DATE\$1VALUE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
```

**Resolver la advertencia general**

El tiempo de Unix Epoch describe un punto en el tiempo que ha transcurrido desde el 1 de enero de 1970, menos segundos bisiestos. Es posible que el tiempo de la fecha de inicio no se resuelva a la hora exacta que espera. AWS recomienda utilizar el estándar W3C para formatos de fecha y hora. Por ejemplo, podría especificar una fecha completa, como AAAA-MM-DD (1997-07-16), o también podría anexar la hora al segundo, como AAAA-MM-DDThh:mm:ssTZD (1997-07-16T19:20:30\$101:00).
+ [Formatos de fecha y hora del W3C](https://www.w3.org/TR/NOTE-datetime)
+ [Elementos de la política JSON de IAM: versión](reference_policies_elements_version.md)
+ [aws:CurrentTime global condition key](reference_policies_condition-keys.md#condition-keys-currenttime)

## Advertencia general: referencia de rol no válida
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-role-reference"></a>

**Código de problema: **INVALID\$1ROLE\$1REFERENCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
```

**Resolver la advertencia general**

AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un rol de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del rol existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el rol, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo rol. 
+ [Especificación de una entidad principal: roles de IAM](reference_policies_elements_principal.md#principal-roles)
+ [ARN de IAM](reference_identifiers.md#identifiers-arns)
+ [ID únicos de IAM](reference_identifiers.md#identifiers-unique-ids)

## Advertencia general: referencia de usuario no válida
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-user-reference"></a>

**Código de problema: **INVALID\$1USER\$1REFERENCE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
```

**Resolver la advertencia general**

AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un usuario de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del usuario existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el usuario, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo usuario. 
+ [Especificación de una entidad principal: usuarios de IAM](reference_policies_elements_principal.md#principal-users)
+ [ARN de IAM](reference_identifiers.md#identifiers-arns)
+ [ID únicos de IAM](reference_identifiers.md#identifiers-unique-ids)

## Advertencia general: falta la versión
<a name="access-analyzer-reference-policy-checks-general-warning-missing-version"></a>

**Código de problema: **MISSING\$1VERSION

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
```

**Resolver la advertencia general**

AWS le recomienda que incluya el parámetro `Version` opcional en su política. Si no incluye un elemento Version, el sistema toma de forma predeterminada el valor `2012-10-17`, pero las características más recientes, como, por ejemplo, variables de política, no funcionarán con su política. Por ejemplo, las variables del tipo `${aws:username}` no se reconocerán como variables y se tratarán en la política como si fueran cadenas literales.
+ [Elementos de la política JSON de IAM: versión](reference_policies_elements_version.md)

## Advertencia general: se recomiendan Sids únicos
<a name="access-analyzer-reference-policy-checks-general-warning-unique-sids-recommended"></a>

**Código de problema: **UNIQUE\$1SIDS\$1RECOMMENDED

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
```

**Resolver la advertencia general**

AWS recomienda que utilice ID de instrucciones únicos. El elemento `Sid` (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento `SID`.

**Términos relacionados**
+ [Elemento de la política de JSON de IAM: Sid](reference_policies_elements_sid.md)

## Advertencia general: comodín sin operador
<a name="access-analyzer-reference-policy-checks-general-warning-wildcard-without-like-operator"></a>

**Código de problema: **WILDCARD\$1WITHOUT\$1LIKE\$1OPERATOR

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
```

**Resolver la advertencia general**

La estructura del elemento `Condition` requiere que utilice un operador de condición y un par clave-valor. Cuando se especifica un valor de condición que utiliza un comodín (\$1, ?), debe utilizar la versión `Like` del operador de condición. Por ejemplo, en lugar del operador de condición de cadena `StringEquals`, debe utilizar `StringLike`.

```
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
```
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

### AWS políticas administradas con esta advertencia general
<a name="accan-ref-policy-check-message-fix-general-warning-wildcard-without-like-operator-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las siguientes políticas administradas AWS incluyen comodines en su valor de condición sin un operador de condición que incluya `Like` para la coincidencia de patrones. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que utilice un operador de condición que admita la coincidencia de patrones con comodines (\$1, ?), como por ejemplo, `StringLike`.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)

## Advertencia general: el tamaño de la política supera la cuota de identidad de la política
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-identity-policy-quota"></a>

**Código de problema: **POLICY\$1SIZE\$1EXCEEDS\$1IDENTITY\$1POLICY\$1QUOTA

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
```

**Resolver la advertencia general**

Puede adjuntar hasta 10 políticas administradas a una identidad de IAM (usuario, grupo de usuarios o rol). Sin embargo, cada política administrada no puede exceder la cuota predeterminada de 6144 caracteres. IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.

Además, puede agregar tantas políticas insertadas como quiera a una identidad de IAM. Sin embargo, el tamaño de todas las políticas insertadas por identidad no puede superar la cuota especificada.

Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.

**Términos relacionados**
+ [IAM y cuotas de caracteres AWS STS](reference_iam-quotas.md)
+ [Varias instrucciones y varias políticas](access_policies.md#policies-syntax-multiples)
+ [Políticas administradas por el cliente de IAM](access_policies_managed-vs-inline.md#customer-managed-policies)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)
+ [Gramática de políticas JSON de IAM](reference_policies_grammar.md)

### AWS políticas administradas con esta advertencia general
<a name="accan-ref-policy-check-message-fix-general-warning-policy-size-exceeds-identity-policy-quota-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los siguientes ejemplos de las políticas administradas de AWS otorgan permisos a acciones en muchos servicios AWS y exceden el tamaño máximo de la política. Cuando se utiliza la política administrada de AWS como referencia para crear la política administrada, debe dividir la política en varias políticas.
+ [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [AWSSupportServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportServiceRolePolicy)

## Advertencia general: el tamaño de la política supera la cuota de la política
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-resource-policy-quota"></a>

**Código de problema: **POLICY\$1SIZE\$1EXCEEDS\$1RESOURCE\$1POLICY\$1QUOTA

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
```

**Resolver la advertencia general**

Las políticas basadas en recursos son documentos de política JSON que puede asociar a un recurso, como, por ejemplo, un bucket de Amazon S3. Estas políticas conceden a la entidad principal especificada permiso para ejecutar acciones concretas en el recurso y definen en qué condiciones son aplicables. El tamaño de las políticas basadas en recursos no puede superar la cuota establecida para ese recurso. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.

Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.

**Términos relacionados**
+ [Políticas basadas en recursos](access_policies.md#policies_resource-based)
+ [Políticas de buckets de Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)
+ [Varias instrucciones y varias políticas](access_policies.md#policies-syntax-multiples)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)
+ [Gramática de políticas JSON de IAM](reference_policies_grammar.md)

## Advertencia general: no coinciden los tipos
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch"></a>

**Código de problema: **TYPE\$1MISMATCH

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```

**Resolver la advertencia general**

Actualice el texto para utilizar el tipo de datos del operador de condición admitido.

Por ejemplo, la clave de condición global `aws:MultiFactorAuthPresent` requiere un operador de condición con el tipo de datos `Boolean`. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Advertencia general: discrepancia de tipo y booleano
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-boolean"></a>

**Código de problema: **TYPE\$1MISMATCH\$1BOOLEAN

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
```

**Resolver la advertencia general**

Actualice el texto para utilizar un tipo de datos de operador de condición booleana, como `true` o `false`.

Por ejemplo, la clave de condición global `aws:MultiFactorAuthPresent` requiere un operador de condición con el tipo de datos `Boolean`. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

**Términos relacionados**
+ [Operadores de condición booleanos](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Advertencia general: discrepancia de tipo y fecha
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-date"></a>

**Código de problema: **TYPE\$1MISMATCH\$1DATE

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
```

**Resolver la advertencia general**

Actualice el texto para utilizar el tipo de datos del operador de condición de fecha, en un `YYYY-MM-DD` u otro formato de fecha y hora ISO 8601.

**Términos relacionados**
+ [Operadores de condición de fecha](reference_policies_elements_condition_operators.md#Conditions_Date)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Advertencia general: discrepancia de tipo y número
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-number"></a>

**Código de problema: **TYPE\$1MISMATCH\$1NUMBER

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
```

**Resolver la advertencia general**

Actualice el texto para utilizar el tipo de datos del operador de condición numérica.

**Términos relacionados**
+ [Operadores de condición numérica](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Advertencia general: discrepancia de tipo y cadena
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-string"></a>

**Código de problema: **TYPE\$1MISMATCH\$1STRING

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
```

**Resolver la advertencia general**

Actualice el texto para utilizar el tipo de datos del operador de condición de cadena.

**Términos relacionados**
+ [Operadores de condición de cadena](reference_policies_elements_condition_operators.md#Conditions_String)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)

## Advertencia general: Se recomienda un repositorio y una ramificación de github específicos
<a name="access-analyzer-reference-policy-checks-general-warning-specific-github-repo-and-branch-recommended"></a>

**Código de problema: **SPECIFIC\$1GITHUB\$1REPO\$1AND\$1BRANCH\$1RECOMMENDED

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
```

**Resolver la advertencia general**

Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración `Condition` en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición `token.actions.githubusercontent.com:sub` para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si utiliza un comodín (`*`) en `token.actions.githubusercontent.com:sub`, las Acciones de GitHub de organizaciones o repositorios ajenos a su control podrán asumir los roles asociados al IdP de IAM de GitHub en su cuenta de AWS.

**Términos relacionados**
+ [Configuración de un rol para el proveedor de identidades de OIDC de GitHub](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)

## Advertencia general: el tamaño de la política supera la cuota de la política de confianza del rol
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-role-trust-policy-quota"></a>

**Código de problema: **POLICY\$1SIZE\$1EXCEEDS\$1ROLE\$1TRUST\$1POLICY\$1QUOTA

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
```

**Resolver la advertencia general**

IAM y AWS STS tienen cuotas que limitan el tamaño de las políticas de confianza de rol. Los caracteres de la política de confianza del rol, excluyendo los espacios en blanco, exceden el máximo de caracteres. Le recomendamos que solicite un aumento de la cuota de longitud de la política de confianza mediante Service Quotas y AWS Support Center Console.

**Términos relacionados**
+ [IAM y cuotas de AWS STS, requisitos de nombre y límites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)

## Advertencia general: Al RCP le falta la clave de condición de la entidad principal relacionada
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-related-principal-condition-key"></a>

**Código de problema: **RCP\$1MISSING\$1RELATED\$1PRINCIPAL\$1CONDITION\$1KEY

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."
```

**Resolver la advertencia general**

Las políticas de control de recursos (RCP) de AWS Organizations pueden afectar los roles de IAM, a los usuarios y a las entidades principales de Servicio de AWS. Para evitar un impacto no deseado en los servicios que actúan en su nombre a través de una entidad principal de servicio, añada la siguiente instrucción al elemento `Condition`:

```
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
```

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propiedades de la entidad principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Advertencia general: Al RCP le falta la clave de condición de la entidad principal de servicio relacionada
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-related-service-principal-condition-key"></a>

**Código de problema: **RCP\$1MISSING\$1RELATED\$1SERVICE\$1PRINCIPAL\$1CONDITION\$1KEY

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."
```

**Resolver la advertencia general**

Las políticas de control de recursos (RCP) de AWS Organizations pueden afectar los roles de IAM, a los usuarios y a las entidades principales de Servicio de AWS. Para evitar un impacto no deseado en sus entidades principales, agregue la siguiente instrucción a su elemento `Condition`:

```
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
```

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propiedades de la entidad principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Advertencia general: comprobación nula de la clave de condición de servicio que falta en el RCP
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-service-condition-key-null-check"></a>

**Código de problema: **RCP\$1MISSING\$1SERVICE\$1CONDITION\$1KEY\$1NULL\$1CHECK

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."
```

**Resolver la advertencia general**

Las políticas de control de recursos (RCP) de AWS Organizations pueden afectar los roles de IAM, a los usuarios y a las entidades principales de Servicio de AWS. Para evitar un impacto no deseado en los servicios que actúan en su nombre a través de una entidad principal de servicio, agregue las siguientes instrucciones al elemento `Condition` siempre que se utilice la clave especificada:

```
"Null": { "aws:SourceAccount": "false"}
```

o

```
"Null": { "aws:SourceArn": "false"}
```

**Términos relacionados**
+ [Sintaxis de RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propiedades de la entidad principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Advertencia general: utilice la clave de condición únicamente con los servicios compatibles
<a name="access-analyzer-reference-policy-checks-general-warning-use-condition-key-only-with-supported-services"></a>

**Código del problema: **USE\$1CONDITION\$1KEY\$1ONLY\$1WITH\$1SUPPORTED\$1SERVICES

**Tipo de resultado: **GENERAL\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```

**Resolver la advertencia general**

Revise la documentación de AWS para identificar cuáles Servicios de AWS admiten esta clave de condición. Si algún servicio de su política no admite la clave de condición, modifique la política para que la clave de condición se limite únicamente a los Servicios de AWS que la admiten.

**Términos relacionados**
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths)
+ [Acciones, recursos y claves de condiciones de Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Advertencia de seguridad: clave de condición no fiable
<a name="access-analyzer-reference-policy-checks-security-warning-untrustworthy-condition-key"></a>

**Código del problema: **UNTRUSTWORTHY\$1CONDITION\$1KEY

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."
```

**Resolución de la advertencia de seguridad**

No use esta clave de condición para el control de acceso. El intermediario puede manipular o falsificar el valor de la clave, lo que crea un riesgo de seguridad.

**Términos relacionados**
+ [AWS Claves de contexto de condición global de](reference_policies_condition-keys.md)

## Advertencia de seguridad: Permitir con NotPrincipal
<a name="access-analyzer-reference-policy-checks-security-warning-allow-with-not-principal"></a>

**Código de problema: **ALLOW\$1WITH\$1NOT\$1PRINCIPAL

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
```

**Resolución de la advertencia de seguridad**

El uso de `"Effect": "Allow"` con el `NotPrincipal` puede ser demasiado permisivo. Por ejemplo, esto puede conceder permisos a entidades principales anónimas. AWS recomienda especificar entidades principales a las que se necesita acceso mediante los elementos `Principal`. Alternativamente, puede permitir un acceso amplio y, a continuación, agregar otra instrucción que utilice el elemento `NotPrincipal` con `“Effect”: “Deny”`.
+ [AWS Elementos de la política JSON de : entidad principal](reference_policies_elements_principal.md)
+ [AWS Elementos de la política de JSON: NotPrincipal](reference_policies_elements_notprincipal.md)

## Advertencia de seguridad: ForAllValues con clave de valor único
<a name="access-analyzer-reference-policy-checks-security-warning-forallvalues-with-single-valued-key"></a>

**Código de problema: **FORALLVALUES\$1WITH\$1SINGLE\$1VALUED\$1KEY

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
```

**Resolución de la advertencia de seguridad**

AWS recomienda que utilice la opción `ForAllValues` solo con condiciones multivalor. El operador de configuración `ForAllValues` prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.

Para saber si una condición admite un único valor o varios valores, revise la página de [Acciones, recursos y claves de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) del servicio. Las claves de condición con el prefijo de tipo de datos `ArrayOf` son claves de condición multivalor. Por ejemplo, Amazon SES admite claves con valores únicos (`String`) y el tipo de datos multivalor `ArrayOfString`.
+ [Claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)

## Advertencia de seguridad: rol de pase con NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-not-resource"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1NOT\$1RESOURCE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). Uso de `iam:PassRole` en una política con el elemento `NotResource` puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia de seguridad: rol de pase con estrella en acción y NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-action-and-not-resource"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (\$1) en el campo `Action` y que incluyen el elemento `NotResource` pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia de seguridad: rol de pase con NotAction y NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-not-action-and-not-resource"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). El uso del elemento `NotAction` y listar algunos recursos en el elemento `NotResource` puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM: NotAction](reference_policies_elements_notaction.md)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia de seguridad: rol de pase con estrella en el recurso
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-resource"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). Las políticas que permiten `iam:PassRole` y que incluyen un carácter comodín (\$1) en el elemento `Resource` pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.

Algunos servicios AWS incluyen su espacio de nombres de servicio en el nombre de su rol. Esta verificación de políticas tiene en cuenta estas convenciones al analizar la política para generar resultados. Por ejemplo, es posible que el siguiente ARN de recurso no genere un resultado:

```
arn:aws:iam::*:role/Service*
```
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

### AWSPolíticas administradas con esta advertencia de seguridad
<a name="accan-ref-policy-check-message-fix-security-warning-pass-role-with-star-in-resource-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Uno de esos casos de uso es para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
+ [AdministratorAccess-Amplify](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess-Amplify)

Los siguientes ejemplos de políticas administradas AWS incluyen permisos para `iam:PassRole` con un carácter comodín (\$1) en el recurso y se encuentran en una [ruta de obsolescencia](access_policies_managed-deprecated.md). Para cada una de estas políticas, actualizamos la guía de permisos, como recomendar una nueva política administrada AWS que admite el caso de uso. Para ver las alternativas a estas políticas, consulte las guías de [cada servicio](reference_aws-services-that-work-with-iam.md).
+ AWSElasticBeanstalkFullAccess
+ AWSElasticBeanstalkService
+ AWSLambdaFullAccess
+ AWSLambdaReadOnlyAccess
+ AWSOpsWorksFullAccess
+ AWSOpsWorksRole
+ AWSDataPipelineRole
+ AmazonDynamoDBFullAccesswithDataPipeline
+ AmazonElasticMapReduceFullAccess
+ AmazonDynamoDBFullAccesswithDataPipeline
+ AmazonEC2ContainerServiceFullAccess

Los siguientes ejemplos de políticas administradas AWS proporcionan permisos solo para [roles vinculados al servicio](id_roles_create-service-linked-role.md), que permiten servicios AWS para realizar acciones en su nombre. No puede adjuntar estas políticas a sus identidades de IAM.
+ [AWSServiceRoleForAmazonEKSNodegroup](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForAmazonEKSNodegroup)

## Advertencia de seguridad: rol de pase con estrella en la acción y el recurso
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-action-and-resource"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (\$1) en `Action` y los elementos `Resource` pueden permitir que las entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

### AWSPolíticas administradas con esta advertencia de seguridad
<a name="accan-ref-policy-check-message-fix-security-warning-pass-role-with-star-in-action-and-resource-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)

## Advertencia de seguridad: rol de pase con estrella en recurso y NotAction
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-resource-and-not-action"></a>

**Código de problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Resolución de la advertencia de seguridad**

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso `iam:PassRole` a una identidad (usuario, grupo de usuarios o rol). El uso del elemento `NotAction` en una política con un carácter comodín (\$1) en el elemento `Resource` pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento `Resource`. Además, puede reducir los permisos a un único servicio mediante la clave de condición `iam:PassedToService`.
+ [Pasar un rol a un servicio](id_roles_use_passrole.md)
+ [iam: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementos de la política de JSON de IAM: NotAction](reference_policies_elements_notaction.md)
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Advertencia de seguridad: faltan las claves de condición emparejadas
<a name="access-analyzer-reference-policy-checks-security-warning-missing-paired-condition-keys"></a>

**Código de problema: **MISSING\$1PAIRED\$1CONDITION\$1KEYS

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
```

**Resolución de la advertencia de seguridad**

Algunas claves de condición son más seguras cuando se las empareja con otras claves de condición relacionadas. AWS recomienda incluir las claves de condición relacionadas en el mismo bloque de condición que la clave de condición existente. Esto hace que los permisos otorgados a través de la política sean más seguros.

Por ejemplo, puede utilizar la clave de condición `aws:VpcSourceIp` para comparar la dirección IP desde la que se realizó una solicitud con la dirección IP que ha especificado en la política. AWS recomienda que agregue la clave de condición de `aws:SourceVPC`. Esto comprueba si la solicitud proviene de la VPC que especifique en la política *y* la dirección IP que especifique.

**Términos relacionados**
+ [`aws:VpcSourceIp` Clave de condición global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [`aws:SourceVPC` Clave de condición global](reference_policies_condition-keys.md#condition-keys-sourcevpc)
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio
<a name="access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service"></a>

**Código de problema: **DENY\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
```

**Resolución de la advertencia de seguridad**

El uso de claves de condición de etiqueta no compatibles en el elemento `Condition` de una política con `"Effect": "Deny"` puede ser excesivamente permisiva, porque la condición se ignora para ese servicio. AWSrecomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para denegar el acceso a recursos específicos para esas acciones.

Si utiliza la clave de condición `aws:ResourceTag` y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo `Deny` siempre devuelve `false` y la acción nunca se deniega. Esto sucede incluso si el recurso está etiquetado correctamente.

Cuando un servicio admite la clave de condición `aws:ResourceTag` puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como [control de acceso basado en atributos (ABAC)](introduction_attribute-based-access-control.md). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante [Control de acceso basado en recursos (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**nota**  
Algunos servicios permiten el soporte para la clave de condición `aws:ResourceTag` para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite `aws:ResourceTag` para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición `aws:ResourceTag`, consulte [Tipos de recurso definidos por Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) en la Referencia de autorizaciones de servicio.

Por ejemplo, supongamos que desea denegar el acceso para desetiquetar recursos específicos que están etiquetados con el par de clave-valor `status=Confidential`. También supongamos también que AWS Lambda le permite etiquetar y desetiquetar recursos, pero no admite la clave de condición `aws:ResourceTag`. Para denegar las acciones de eliminación para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición `aws:ResourceTag`. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el prefijo `"Confidential"`. A continuación, incluya una instrucción separada que impida eliminar recursos con esa convención de nomenclatura.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyDeleteSupported",
            "Effect": "Deny",
            "Action": [
                "appmesh:DeleteMesh", 
                "backup:DeleteBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/status": "Confidential"
                }
            }
        },
        {
            "Sid": "DenyDeleteUnsupported",
            "Effect": "Deny",
            "Action": "lambda:DeleteFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
        }
    ]
}
```

**aviso**  
No utilice la versión ...[IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists) del operador de condición como solución alternativa para este resultado. Esto significa «Denegar la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, deniegue la acción». En el ejemplo anterior, incluida la acción `lambda:DeleteFunction` en la declaración `DenyDeleteSupported`con el operador `StringEqualsIfExists` siempre deniega la acción. Para esa acción, la clave no está presente en el contexto y todos los intentos de eliminar ese tipo de recurso se deniegan, independientemente de si el recurso está etiquetado.

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Comparación de ABAC con RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Advertencia de seguridad: denegar NotAction con clave de condición de etiqueta no compatible para el servicio
<a name="access-analyzer-reference-policy-checks-security-warning-deny-notaction-with-unsupported-tag-condition-key-for-service"></a>

**Código de problema: **DENY\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```

**Resolución de la advertencia de seguridad**

El uso de claves de condición de etiqueta en el `Condition` elemento de una política con el elemento `NotAction` y `"Effect": "Deny"` puede ser demasiado permisivo. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para denegar una lista de acciones.

Si utiliza la clave de condición `aws:ResourceTag` con `NotAction`, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea denegar. el Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición `aws:ResourceTag`. Para obtener más información, consulte [Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio](#access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service). 

Cuando un servicio admite la clave de condición `aws:ResourceTag` puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como [control de acceso basado en atributos (ABAC)](introduction_attribute-based-access-control.md). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante [Control de acceso basado en recursos (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Comparación de ABAC con RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Advertencia de seguridad: restrinja el acceso a la entidad principal de servicio
<a name="access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal"></a>

**Código de problema: **RESTRICT\$1ACCESS\$1TO\$1SERVICE\$1PRINCIPAL

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
```

**Resolución de la advertencia de seguridad**

Puede especificar Servicios de AWS en el elemento `Principal` de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. Al conceder acceso a una entidad principal de servicio para que actúe en su nombre, restrinja el acceso. Puede evitar políticas excesivamente permisivas mediante las claves de condición `aws:SourceArn`, `aws:SourceAccount`, `aws:SourceOrgID` o `aws:SourceOrgPaths` para restringir el acceso a un origen específico, como un ARN de recurso específico, un ID de organización, Cuenta de AWS o rutas de organización. Restringir el acceso lo ayuda a evitar un problema de seguridad denominado *problema del suplente confuso*.

**Términos relacionados**
+ [Servicio de AWS Entidades principales de](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS Claves de condición global de : aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS Claves de condición global de : aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS Claves de condición global de : aws:SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS Claves de condición global de : aws:SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

## Advertencia de seguridad: falta la clave de condición para la entidad principal oidc
<a name="access-analyzer-reference-policy-checks-security-warning-missing-condition-key-for-oidc-principal"></a>

**Código de problema: **MISSING\$1CONDITION\$1KEY\$1FOR\$1OIDC\$1PRINCIPAL

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
```

**Resolución de la advertencia de seguridad**

El uso de una entidad principal de Open ID Connect sin una condición puede resultar excesivamente permisivo. Agregue claves de condición con un prefijo que coincida con sus entidades principales de OIDC federadas para garantizar que solo el proveedor de identidad previsto asuma el rol.

**Términos relacionados**
+ [Creación de un rol para identidades web o de OpenID Connect Federation (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)

## Advertencia de seguridad: falta la clave de condición del repositorio de github
<a name="access-analyzer-reference-policy-checks-security-warning-missing-github-repo-condition-key"></a>

**Código de problema: **MISSING\$1GITHUB\$1REPO\$1CONDITION\$1KEY

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
```

**Resolución de la advertencia de seguridad**

Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración `Condition` en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición `token.actions.githubusercontent.com:sub` para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si no incluye esta condición, GitHub Actions de organizaciones o repositorios fuera de su control pueden asumir roles asociados con el IdP de IAM de GitHub en su cuenta de AWS.

**Términos relacionados**
+ [Configuración de un rol para el proveedor de identidades de OIDC de GitHub](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)

## Advertencia de seguridad: operador de cadena con claves de condición ARN
<a name="access-analyzer-reference-policy-checks-security-warning-string-like-operator-with-arn-condition-keys"></a>

**Código de problema: **STRING\$1LIKE\$1OPERATOR\$1WITH\$1ARN\$1CONDITION\$1KEYS

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```

**Resolución de la advertencia de seguridad**

AWS recomienda utilizar operadores de ARN en lugar de operadores de cadena al comparar los ARN para garantizar una restricción de acceso adecuada en función de los valores de las condiciones de los ARN. Actualice el operador `StringLike` con el operador `ArnLike` de su elemento `Condition` siempre que se utilice la clave especificada.

Estas políticas gestionadas de AWS son excepciones a esta advertencia de seguridad:
+ [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)
+ [AWSCodePipeline\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_FullAccess.html)
+ [AWSCodePipeline\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_ReadOnlyAccess.html)
+ [S3UnlockBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/S3UnlockBucketPolicy.html)
+ [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SQSUnlockQueuePolicy.html)

**Términos relacionados**
+ [Operadores de condición de nombre de recurso de Amazon (ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)
+ [Operadores de condición de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ [AWS Políticas gestionadas por](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)

## Advertencia de seguridad: ForAnyValue con tipo de reclamación de audiencia
<a name="access-analyzer-reference-policy-checks-security-warning-foranyvalue-with-audience-claim-type"></a>

**Código de problema: **FORANYVALUE\$1WITH\$1AUDIENCE\$1CLAIM\$1TYPE

**Tipo de resultado: **SECURITY\$1WARNING

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."
```

**Resolución de la advertencia de seguridad**

AWS recomienda que no utilice el operador de conjunto de `ForAnyValue` con claves de condición de un solo valor. Utilice operadores de conjunto solo con claves de condición de varios valores. Elimine el operador de conjunto de `ForAnyValue`.

**Términos relacionados**
+ [Claves de contexto de valor único y multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md)
+ [Ejemplos de políticas de claves de contexto con un solo valor](reference_policies_condition_examples-single-valued-context-keys.md)

## Sugerencia: acción de matriz vacía
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-action"></a>

**Código de problema: **EMPTY\$1ARRAY\$1ACTION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
```

**Resolución de la sugerencia**

Las instrucciones deben incluir un elemento `Action` o `NotAction` que incluye un conjunto de acciones. Cuando el elemento está vacío, la instrucción de política no proporciona permisos. Especifique acciones en el elemento `Action`
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)

## Sugerencia: condición de matriz vacía
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition"></a>

**Código de problema: **EMPTY\$1ARRAY\$1CONDITION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
```

**Resolución de la sugerencia**

La estructura del elemento `Condition` opcional requiere que utilice un operador de condición y un par clave-valor. Cuando el valor de la condición está vacío, la condición devuelve`true` y la declaración de política no proporciona permisos. Especifique un valor de condición.
+ [Elementos de la política de JSON de IAM: condición ](reference_policies_elements_condition.md)

## Sugerencia: condición de matriz vacía ForAllValues
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-forallvalues"></a>

**Código de problema: **EMPTY\$1ARRAY\$1CONDITION\$1FORALLVALUES

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```

**Resolución de la sugerencia**

La estructura del elemento `Condition` requiere que utilice un operador de condición y un par clave-valor. El operador de configuración `ForAllValues` prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición. 

Cuando utiliza `ForAllValues` con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición `Null`.
+ [Claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operador de condición nulo](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia — Condición de matriz vacía ForAnyValue
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-foranyvalue"></a>

**Código de problema: **EMPTY\$1ARRAY\$1CONDITION\$1FORANYVALUE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
```

**Resolución de la sugerencia**

La estructura del elemento `Condition` requiere que utilice un operador de condición y un par clave-valor. El operador de configuración `ForAnyValues` prueba si al menos un miembro del conjunto de valores de la solicitud coincide con al menos un miembro del conjunto de valores de la clave de condición.

Cuando utiliza `ForAnyValues` con una clave de condición vacía, la condición nunca coincide. Esto significa que la declaración no afecta a la política. AWSrecomienda que vuelva a escribir la condición.
+ [Claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: condición de matriz vacía IfExists
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-ifexists"></a>

**Código de problema: **EMPTY\$1ARRAY\$1CONDITION\$1IFEXISTS

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```

**Resolución de la sugerencia**

El sufijo `...IfExists` edita un operador de condición. Significa que si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero.

Cuando utiliza `...IfExists` con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición `Null`.
+ [...Operadores de condición ...IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: entidad principal de matriz vacía
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-principal"></a>

**Código de problema: **EMPTY\$1ARRAY\$1PRINCIPAL

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```

**Resolución de la sugerencia**

Debe utilizar el elemento `Principal` o `NotPrincipal` en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.

Cuando proporciona una matriz vacía en el elemento `Principal`, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.
+ [Elementos de la política JSON de IAM: Principal](reference_policies_elements_principal.md)
+ [Elementos de la política de JSON de IAM: NotPrincipal](reference_policies_elements_notprincipal.md)

## Sugerencia — Recurso de matriz vacío
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-resource"></a>

**Código de problema: **EMPTY\$1ARRAY\$1RESOURCE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
```

**Resolución de la sugerencia**

Las instrucciones deben contener un elemento `Resource` o `NotResource`.

Cuando proporciona una matriz vacía en el elemento de recurso de una instrucción, la instrucción no tiene ningún efecto en la política. AWS recomienda que especifique los nombres de recurso de Amazon (ARN) para los recursos.
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)
+ [Elementos de la política de JSON de IAM: NotResource](reference_policies_elements_notresource.md)

## Sugerencia: condición de objeto vacío
<a name="access-analyzer-reference-policy-checks-suggestion-empty-object-condition"></a>

**Código de problema: **EMPTY\$1OBJECT\$1CONDITION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
```

**Resolución de la sugerencia**

La estructura del elemento `Condition` requiere que utilice un operador de condición y un par clave-valor.

Cuando se proporciona un objeto vacío en el elemento de condición de una instrucción, la instrucción no tiene ningún efecto en la política. Elimine el elemento opcional o especifique las condiciones.
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: entidad principal de objeto vacío
<a name="access-analyzer-reference-policy-checks-suggestion-empty-object-principal"></a>

**Código de problema: **EMPTY\$1OBJECT\$1PRINCIPAL

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```

**Resolución de la sugerencia**

Debe utilizar el elemento `Principal` o `NotPrincipal` en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.

Cuando proporciona un objeto vacío en el elemento `Principal`, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.
+ [Elementos de la política JSON de IAM: Principal](reference_policies_elements_principal.md)
+ [Elementos de la política de JSON de IAM: NotPrincipal](reference_policies_elements_notprincipal.md)

## Sugerencia: valor de Sid vacío
<a name="access-analyzer-reference-policy-checks-suggestion-empty-sid-value"></a>

**Código de problema: **EMPTY\$1SID\$1VALUE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Empty Sid value: Add a value to the empty string in the Sid element.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Add a value to the empty string in the Sid element."
```

**Resolución de la sugerencia**

El elemento opcional `Sid` (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de `Sid` a cada instrucción de una matriz de instrucciones. Si opta por utilizar el elemento `Sid`, debe proporcionar un valor de cadena.

**Términos relacionados**
+ [Elemento de la política de JSON de IAM: Sid](reference_policies_elements_sid.md)

## Sugerencia: equivalente a un valor null false
<a name="access-analyzer-reference-policy-checks-suggestion-equivalent-to-null-false"></a>

**Código del problema: **EQUIVALENT\$1TO\$1NULL\$1FALSE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."
```

**Resolución de la sugerencia**

Sustituya la clave de condición actual por la clave recomendada establecida en `false`. Este cambio mejora la claridad de las políticas y garantiza una evaluación de la condición más fiable. Actualice el bloque de condiciones para usar `{recommendedKey}: false` en lugar de la combinación de operador y clave actual.

**Términos relacionados**
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)

## Sugerencia: equivalente a un valor null true
<a name="access-analyzer-reference-policy-checks-suggestion-equivalent-to-null-true"></a>

**Código del problema: **EQUIVALENT\$1TO\$1NULL\$1TRUE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."
```

**Resolución de la sugerencia**

Sustituya la clave de condición actual por la clave recomendada establecida en `true`. Este cambio mejora la claridad de las políticas y garantiza una evaluación de la condición más fiable. Actualice el bloque de condiciones para usar `{recommendedKey}: true` en lugar de la combinación de operador y clave actual.

**Términos relacionados**
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)

## Sugerencia: mejorar el rango IP
<a name="access-analyzer-reference-policy-checks-suggestion-improve-ip-range"></a>

**Código de problema: **IMPROVE\$1IP\$1RANGE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
```

**Resolución de la sugerencia**

Las condiciones de las direcciones IP deben tener el formato CIDR estándar, como 203.0.113.0/24 o 2001:DB8:1234:5678::/64. Cuando se incluyen bits distintos de cero después de los bits enmascarados, no se consideran para la condición. AWS recomienda que utilice la nueva dirección incluida en el mensaje.
+ [Operadores de condición de dirección IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: nulo con calificador
<a name="access-analyzer-reference-policy-checks-suggestion-null-with-qualifier"></a>

**Código de problema: **NULL\$1WITH\$1QUALIFIER

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
```

**Resolución de la sugerencia**

En el elemento `Condition`, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe utilizar los operadores de configuración `ForAllValues` o `ForAnyValue`.

Cuando utiliza el operador de condición `Null` con `ForAllValues`, la declaración siempre devuelve `true`. Cuando utiliza el operador de condición `Null` con `ForAnyValue`, la declaración siempre devuelve `false`. AWS recomienda que utilice la condición `StringLike` con estos operadores de conjunto.

**Términos relacionados**
+ [Claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operador de condición nulo](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemento de condición](reference_policies_elements_condition.md)

## Sugerencia: subconjunto de direcciones IP privada
<a name="access-analyzer-reference-policy-checks-suggestion-private-ip-address-subset"></a>

**Código de problema: **PRIVATE\$1IP\$1ADDRESS\$1SUBSET

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```

**Resolución de la sugerencia**

La clave de condición global `aws:SourceIp` solo funciona para rangos de direcciones IP públicas.

Cuando su elemento `Condition` incluye una mezcla de direcciones IP privadas y públicas, la declaración puede no tener el efecto deseado. Usted puede especificar direcciones IP privadas utilizando `aws:VpcSourceIP`.

**nota**  
La clave de condición global `aws:VpcSourceIP` coincide solo si la solicitud proviene de la dirección IP especificada y pasa a través de un punto de conexión de la VPC.
+ [aws:SourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws:VpcSourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operadores de condición de dirección IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: subconjunto NotIpAddress privado
<a name="access-analyzer-reference-policy-checks-suggestion-private-not-ip-address-subset"></a>

**Código de problema: **PRIVATE\$1NOT\$1IP\$1ADDRESS\$1SUBSET

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```

**Resolución de la sugerencia**

La clave de condición global `aws:SourceIp` solo funciona para rangos de direcciones IP públicas.

Cuando su elemento `Condition` incluye el operador de condición `NotIpAddress` y una combinación de direcciones IP privadas y públicas, es posible que la declaración no tenga el efecto deseado. Todas las direcciones IP públicas que no se especifican en la política coincidirán. Ninguna dirección IP privada coincidirá. Para lograr este efecto, puede utilizar `NotIpAddress` con `aws:VpcSourceIP` y especificar las direcciones IP privadas que no deben coincidir.
+ [aws:SourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws:VpcSourceIp clave de condición global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operadores de condición de dirección IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: acción redundante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-action"></a>

**Código de problema: **REDUNDANT\$1ACTION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
```

**Resolución de la sugerencia**

Cuando utiliza comodines (\$1) en el elemento `Action`, puede incluir permisos redundantes. AWS recomienda que revise su política e incluya únicamente los permisos que necesite. Esto puede ayudarle a eliminar acciones redundantes.

Por ejemplo, las siguientes acciones incluyen la acción `iam:GetCredentialReport` dos veces.

```
"Action": [
        "iam:Get*",
        "iam:List*",
        "iam:GetCredentialReport"
    ],
```

En este ejemplo, se definen los permisos para todas las acciones de IAM que comienzan con `Get` o `List`. Cuando IAM agrega operaciones adicionales para obtener o listar, esta política las permitirá. Es posible que desee permitir todas estas acciones de solo lectura. La`iam:GetCredentialReport`La acción ya está incluida como parte de`iam:Get*`. Para quitar los permisos duplicados, puede quitar `iam:GetCredentialReport`.

Recibirá un resultado para esta comprobación de política cuando todo el contenido de una acción es redundante. En este ejemplo, si el elemento incluye `iam:*CredentialReport`, no se considera redundante. Eso incluye `iam:GetCredentialReport`, que es redundante, y `iam:GenerateCredentialReport`, que no lo es. Al eliminar `iam:Get*` o `iam:*CredentialReport` se cambiarían los permisos de la política.
+ [Elementos de la política de JSON de IAM: acción](reference_policies_elements_action.md)

### AWSPolíticas administradas con esta sugerencia
<a name="accan-ref-policy-check-message-fix-suggestion-redundant-action-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las acciones redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada, AWS recomienda que elimine las acciones redundantes de su política.

## Sugerencia: número de valor de condición redundante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-condition-value-num"></a>

**Código de problema: **REDUNDANT\$1CONDITION\$1VALUE\$1NUM

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
```

**Resolución de la sugerencia**

Cuando utiliza operadores de condición numérica para valores similares en una clave de condición, puede crear una superposición que dé como resultado permisos redundantes.

Por ejemplo, el siguiente elemento `Condition` incluye varias condiciones `aws:MultiFactorAuthAge` que tienen una superposición de edad de 1200 segundos.

```
"Condition": {
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": [
            "2700",
            "3600"
          ]
        }
      }
```

En este ejemplo, los permisos se definen si la autenticación multifactor (MFA) se completó hace menos de 3600 segundos (1 hora). Podría eliminar el valor `2700` redundante.
+ [Operadores de condición numérica](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elementos de la política de JSON de IAM: condición](reference_policies_elements_condition.md)

## Sugerencia: recurso redundante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-resource"></a>

**Código de problema: **REDUNDANT\$1RESOURCE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
```

**Resolución de la sugerencia**

Cuando utiliza caracteres comodín (\$1) en nombres de recurso de Amazon (ARN), puede crear permisos de recursos redundantes.

Por ejemplo, el siguiente elemento `Resource` incluye varios ARN con permisos redundantes.

```
"Resource": [
            "arn:aws:iam::111122223333:role/jane-admin",
            "arn:aws:iam::111122223333:role/jane-s3only",
            "arn:aws:iam::111122223333:role/jane*"
        ],
```

En este ejemplo, se definen los permisos para cualquier rol con un nombre que comience con `jane`. Podría eliminar el `jane-admin` redundante y los `jane-s3only` ARN sin cambiar los permisos resultantes. Esto hace que la política sea dinámica. Definirá permisos para cualquier rol futuro que comience con `jane`. Si la intención de la política es permitir el acceso a un número estático de roles, elimine el último ARN y enumere solo los ARN que deben definirse.
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

### AWSPolíticas administradas con esta sugerencia
<a name="accan-ref-policy-check-message-fix-suggestion-redundant-resource-awsmanpol"></a>

[AWS políticas administradas](access_policies_managed-vs-inline.md#aws-managed-policies) le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los recursos redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada AWS como referencia para crear su política gestionada por el cliente, AWS recomienda quitar recursos redundantes de la política.

## Sugerencia: instrucción redundante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-statement"></a>

**Código de problema: **REDUNDANT\$1STATEMENT

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
```

**Resolución de la sugerencia**

El elemento `Statement` es el elemento principal de una política. Este elemento es obligatorio. El elemento `Statement` puede contener una sola instrucción o una matriz de instrucciones individuales.

Cuando se incluye la misma instrucción más de una vez en una política larga, las instrucciones son redundantes. Puede quitar una de las instrucciones sin afectar a los permisos otorgados por la política. Cuando alguien edita una política, puede cambiar una de las instrucciones sin actualizar el duplicado. Esto podría provocar más permisos de los que se pretendía.
+ [Elementos de la política de JSON de IAM: Instrucción](reference_policies_elements_statement.md)

## Sugerencia: comodín en el nombre del servicio
<a name="access-analyzer-reference-policy-checks-suggestion-wildcard-in-service-name"></a>

**Código de problema: **WILDCARD\$1IN\$1SERVICE\$1NAME

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
```

**Resolución de la sugerencia**

Cuando se incluye el nombre de un servicio AWS en una política, AWSrecomienda no incluir caracteres comodín (\$1, ?). Esto podría agregar permisos para futuros servicios que no tiene intención. Por ejemplo, hay más de una docena de servicios AWS con la palabra `*code*` en su nombre.

```
"Resource": "arn:aws:*code*::111122223333:*"
```
+ [Elementos de la política de JSON de IAM;: recurso](reference_policies_elements_resource.md)

## Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio
<a name="access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service"></a>

**Código de problema: **ALLOW\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
```

**Resolución de la sugerencia**

El uso de claves de condición de etiqueta no compatibles en el elemento `Condition` de una política con `"Effect": "Allow"` no afecta los permisos otorgados por la política, porque la condición se ignora para ese servicio. AWS recomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para permitir el acceso a recursos específicos en ese servicio.

Si utiliza la clave de condición `aws:ResourceTag` y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo `Allow` siempre devuelve `false` y la acción nunca está permitida. Esto sucede incluso si el recurso está etiquetado correctamente. 

Cuando un servicio admite la clave de condición `aws:ResourceTag` puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como [control de acceso basado en atributos (ABAC)](introduction_attribute-based-access-control.md). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante [Control de acceso basado en recursos (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**nota**  
Algunos servicios permiten el soporte para la clave de condición `aws:ResourceTag` para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite `aws:ResourceTag` para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición `aws:ResourceTag`, consulte [Tipos de recurso definidos por Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) en la Referencia de autorizaciones de servicio.

Por ejemplo, suponga que desea permitir que los miembros del equipo vean los detalles de recursos específicos etiquetados con el par clave-valor `team=BumbleBee`. También supongamos también que AWS Lambda le permite etiquetar recursos, pero no admite la clave de condición `aws:ResourceTag`. Para permitir la visualización de acciones para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición `aws:ResourceTag`. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el nombre del equipo como prefijo. A continuación, incluya una instrucción separada que permita ver recursos con esa convención de nomenclatura.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewSupported",
            "Effect": "Allow",
            "Action": [
                "appmesh:DescribeMesh", 
                "backup:GetBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/team": "BumbleBee"
                }
            }
        },
        {
            "Sid": "AllowViewUnsupported",
            "Effect": "Allow",
            "Action": "lambda:GetFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
        }
    ]
}
```

**aviso**  
No utilice la [versión `Not` del operador de condición](reference_policies_elements_condition_operators.md) con `"Effect": "Allow"` como solución alternativa para este resultado. Estos operadores de condición proporcionan coincidencia denegada. Esto significa que después de que se evalúa la condición, el resultado es negado. En el ejemplo anterior, incluida la acción `lambda:GetFunction` en la instrucción `AllowViewSupported`con el operador `StringNotEquals` siempre permite la acción, independientemente de si el recurso está etiquetado.  
No utilice la versión ...[IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists) del operador de condición como solución alternativa para este resultado. Esto significa “Permitir la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, permita la acción”. En el ejemplo anterior, incluida la acción `lambda:GetFunction` en la declaración `AllowViewSupported`con el operador `StringEqualsIfExists` siempre permite la acción. Para esa acción, la clave no está presente en el contexto y se permite cada intento de ver ese tipo de recurso, independientemente de si el recurso está etiquetado.

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Sugerencia: permitir NotAction con clave de condición de etiqueta no compatible para el servicio
<a name="access-analyzer-reference-policy-checks-suggestion-allow-notaction-with-unsupported-tag-condition-key-for-service"></a>

**Código de problema: **ALLOW\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```

**Resolución de la sugerencia**

El uso de claves de condición de etiqueta no compatibles en el elemento `Condition` de una política con el elemento `NotAction` y `"Effect": "Allow"` no afecta a los permisos concedidos por la política. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para admitir una lista de acciones.

Si utiliza la clave de condición `aws:ResourceTag` con `NotAction`, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea admitir. El Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición `aws:ResourceTag`. Para obtener más información, consulte [Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio](#access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service).

Cuando un servicio admite la clave de condición `aws:ResourceTag` puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como [control de acceso basado en atributos (ABAC)](introduction_attribute-based-access-control.md). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante [Control de acceso basado en recursos (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Términos relacionados**
+ [Claves de condición global](reference_policies_condition-keys.md)
+ [Comparación de ABAC con RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementos de la política de JSON de IAM: operadores de condición](reference_policies_elements_condition_operators.md)
+ [Elemento de condición](reference_policies_elements_condition.md)
+ [Información general de políticas de JSON](access_policies.md#access_policies-json)

## Sugerencia: clave de condición recomendada para la entidad principal de servicio
<a name="access-analyzer-reference-policy-checks-suggestion-recommended-condition-key-for-service-principal"></a>

**Código de problema: **RECOMMENDED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
```

**Resolución de la sugerencia**

Puede especificar Servicios de AWS en el elemento `Principal` de una política basada en recursos mediante una *entidad principal de servicio*, que es un identificador del servicio. Debe utilizar las claves de condición `aws:SourceArn`, `aws:SourceAccount`, `aws:SourceOrgID` o `aws:SourceOrgPaths` al conceder acceso a las entidades principales de servicio en lugar de otras claves de condición, como `aws:Referer`. Esto lo ayuda a evitar un problema de seguridad denominado *problema del suplente confuso*.

**Términos relacionados**
+ [Servicio de AWS Entidades principales de](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS Claves de condición global de : aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS Claves de condición global de : aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS Claves de condición global de : aws:SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS Claves de condición global de : aws:SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

## Sugerencia: clave de condición irrelevante en la política
<a name="access-analyzer-reference-policy-checks-suggestion-irrelevant-condition-key-in-policy"></a>

**Código de problema: **IRRELEVANT\$1CONDITION\$1KEY\$1IN\$1POLICY

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource."
```

**Resolución de la sugerencia**

Algunas claves de condición no son relevantes para políticas basadas en recursos. Por ejemplo, la clave de condición `s3:ResourceAccount` no es relevante para la política basada en recursos asociada a un bucket de Amazon S3 o a un tipo de recurso de punto de acceso de Amazon S3.

Puede utilizar la clave de condición de una política basada en la identidad para controlar el acceso al recurso.

**Términos relacionados**
+ [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md)

## Sugerencia: clave redundante debido al carácter comodín
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-key-due-to-wildcard-in-condition"></a>

**Código del problema: **REDUNDANT\$1KEY\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."
```

**Resolución de la sugerencia**

Elimine la clave de condición redundante de la política. La clave siempre coincide debido al patrón de caracteres comodín, por lo que no es necesaria. Simplifique el bloque de condiciones quitando esta clave y manteniendo los mismos permisos efectivos. 

**Términos relacionados**
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)

## Sugerencia: Entidad principal redundante en la política de confianza del rol
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-principal-in-role-trust-policy"></a>

**Código de problema: **REDUNDANT\$1PRINCIPAL\$1IN\$1ROLE\$1TRUST\$1POLICY

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
```

**Resolución de la sugerencia**

Si especifica tanto un rol principal asumido como su rol primario en el elemento `Principal` de una política, ésta no permite o deniega los permisos diferentes. Por ejemplo, es redundante si se especifica el elemento `Principal` utilizando el siguiente formato:

```
"Principal": {
            "AWS": [
            "arn:aws:iam::AWS-account-ID:role/rolename",
            "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
        ]
```

Le recomendamos que elimine el rol principal asumido.

**Términos relacionados**
+ [Entidades principales de sesión de rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-role-session)

## Sugerencia: declaración redundante debido al carácter comodín
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-statement-due-to-wildcard-in-condition"></a>

**Código del problema: **REDUNDANT\$1STATEMENT\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."
```

**Resolución de la sugerencia**

Elimine la clave de condición que no coincida con ningún valor. Esta clave crea una condición inalcanzable que nunca se cumplirá, por lo que es redundante. Limpie la política eliminando esta clave para mejorar la legibilidad y el rendimiento.

**Términos relacionados**
+ [Elementos de la Política de IAM: condición](reference_policies_elements_condition.md)
+ [Condiciones con varias claves de contexto o valores](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS Claves de contexto de condición globales de](reference_policies_condition-keys.md)

## Sugerencia: confirme el tipo de reclamación de la audiencia
<a name="access-analyzer-reference-policy-checks-suggestion-confirm-audience-claim-type"></a>

**Código de problema: **CONFIRM\$1AUDIENCE\$1CLAIM\$1TYPE

**Tipo de resultado: **SUGGESTION

**Detalles de los resultados**

En el Consola de administración de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.
```

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

```
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."
```

**Resolución de la sugerencia**

La clave de reclamación `aud` (de la audiencia) es un identificador único para su aplicación que se le emite cuando registra su aplicación con el IdP e identifica a los destinatarios a los que está destinado el token web JSON. La reclamación de la audiencia puede ser de valor único o multivalor. Si la reclamación es multivalor, utilice un `ForAllValues` o un operador de conjunto de condiciones `ForAnyValue`. Si la reclamación es de valor único, no utilice un operador de conjunto de condiciones.

**Términos relacionados**
+ [Creación de un rol para identidades web o de OpenID Connect Federation (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Claves de contexto multivalor](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)
+ [Claves de condición de valor único y multivalor](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_single-vs-multi-valued-condition-keys.html)